Insbesondere gelang es Trend Micro, die Struktur der Kontroll- und Befehlsserver (C&C-Server) des Botnetzes zu identifizieren und diese bis zu ihrer Abschaltung am 8. November ununterbrochen zu beobachten. Auch die im estnischen Tartu ansässige Firma "Rove Digital" als Drahtzieherin hinter dem Botnetz war Trend Micro bereits seit 2006 bekannt. Insgesamt wurden mehr als 100 C&C-Server in einer konzertierten Aktion von Ermittlungsbehörden und IT-Unternehmen vom Netz genommen, gleichzeitig verhaftete die estnische Polizei sechs Verdächtige.
Botnetz änderte DNS-Einstellungen
Das nun zerschlagene Botnetz änderte die DNS-Einstellungen auf den infizierten Rechnern, so dass die Websurfer nach Belieben der Online-Gangster auf fremde Seiten umgeleitet wurden. Unerwünschte Werbeeinblendungen, manipulierte Suchergebnisse oder Versuche, die ahnungslosen Anwender mit falschen Alarmmeldungen zum Kauf vermeintlicher Antivirensoftware - so genannte "FakeAV-Lösungen" - zu bewegen, waren einige der Taktiken der Kriminellen, aus ihrem riesigen Botnetz Profit zu schlagen. Die Schadsoftware selbst verfügte über leistungsfähige Verteidigungsmechanismen und verhinderte unter anderem die Aktualisierung von echten IT-Sicherheitslösungen.
"Diese konzertierte Aktion gegen eine kriminelle Bande ist höchst bedeutsam. Denn noch nie zuvor wurden cyberkriminelle Aktivitäten dieses Ausmaßes unterbunden. Im Rahmen der Zusammenarbeit von Polizeibehörden verschiedener Länder wurden sechs Personen festgenommen, und zwar auf Basis solider Informationen von Trend Micro und anderen Partnern aus der Branche", so Martin Rösler, "Director Threat Research" bei Trend Micro.
Details zu Aufbau und Funktionsweise des Botnetzes
Weitere Details zu Aufbau und Funktionsweise des zerschlagenen Botnetzes sind im Malware-Blog von Trend Micro unter http://blog.trendmicro.com/... abrufbar.
Ist mein Rechner infiziert? So finden es Anwender heraus
Auf seinem Blog gibt der Trend Micro-Sicherheitsexperte Rik Ferguson Hilfestellung, wie besorgte Anwender herausfinden können, ob ihr Rechner Teil des Botnetzes war. Die Informationen sind unter http://countermeasures.trendmicro.eu/... erhältlich.