Malware

Computer-Botnet missbraucht georgische Regierungs-Server

Die Schadsoftware Win32/Georbot erregte bereits Anfang dieses Jahres Aufmerksamkeit. Dieser virtuelle "Agent" aus Trojaner und Bot stiehlt wertvolle Daten und Informationen auf infizierten Systemen. Dabei nutzt er auf illegale Weise Webseiten und Server der georgischen Regierung.

Bot-Netz

© Archiv

Aufmacher, Hand, Login, Passwort, Username, Hacker, illegal

Die Entdeckung eines Botnets ist inzwischen nichts Ungewöhnliches mehr. Im Gegensatz zu den kürzlich entdeckten Schadprogrammen Win32/Stuxnet und Win32/Duqu, die ein Beispiel gut organisierter und professioneller Cyberkriminellen sind, verfügt Win32/Georbot über eine einzigartige Technologie und noch ausgefeiltere Funktionen, um an Informationen zu gelangen. Das Bemerkenswerte und Interessante an Win32/Georbot ist, dass die Schadsoftware Dokumente und Zertifikate stiehlt. Zudem ist sie in der Lage, neben dem üblichen "Bespitzelungsdienst" Audio- und Videoaufnahmen sowie Screenshots zu erstellen, lokale Netzwerke nach Informationen zu durchsuchen, das System auf "Remote Desktop Konfigurationsdateien" zu überprüfen und DDoS Attacken durchzuführen. Hacker können diese Dateien auf andere Rechner laden und sich Zugriffsrechte verschaffen, ohne dass der Nutzer es bemerkt. Hinzu kommt, dass Win32/Georbot einen Update-Mechanismus beinhaltet, der immer wieder neue Versionen des Bots herunterlädt und auf diese Weise den Viren-Scannern verborgen bleiben kann.Dabei nutzt Win32/Georbot illegal Webseiten der georgischen Regierung, um seine Command-and-Control-Informationen (C&C) herunterzuladen. Sobald die Schadsoftware den C&C-Server nicht erreichen kann, greift ein integrierter Fall-Back-Mechanismus. Dann verbindet sich das Programm mit einer bestimmten Webseite, die von der georgischen Regierung gehostet wird. In Georgien sind 70% der Rechner infiziert, gefolgt von den USA (5.07%), Deutschland (3.88%) und Russland (3.58%).Mehr Informationen finden sich in der ESET-Analyse (englisches PDF).

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…