MSRT vs. Win32/Afcore

Coreflood-Botnetz dicht gemacht

Die US-Bundespolizei hat das Coreflood-Botnetz übernommen und Microsoft gebeten, sein Windows-Tool zum Entfernen bösartiger Software mit Desinfektionsroutinen für die Botnetz-Malware auszustatten. Microsoft ist der behördlichen Bitte beim Patch Day in dieser Woche nachgekommen.

Schwere Schäden durch Hacker-Angriffe

© Felipe Pereira Martins, Anna Kobylinska

Schwere Schäden durch Hacker-Angriffe

Am 12. April haben das FBI und das US-Justizministerium ein als "Coreflood" bekanntes Botnetz abgeklemmt und die Kontrolle darüber übernommen. Wenn ein infizierter PC ("Zombie") versucht sein Botnetz-Mutterschiff zu erreichen, wird er auch einen Behörden-Server umgeleitet. Dieser sendet ein in der Bot-Malware implementiertes Kommando, um den Schädling bis zum nächsten Neustart zu deaktivieren.Microsoft hat bei seinem monatlichen Patch Day am selben Tag wie üblich auch das "Windows-Tool zum Entfernen bösartiger Software" aktualisiert, das über das automatische Windows Update installiert wird und einmalig den Rechner auf bekannte Malware prüft. In diesem Monat hat Microsoft auf Bitte der US-Behörden den Schädling "Win32/Afcore" auf die Abschussliste des MSRT (Malicious Software Removal Tool) gesetzt.Nicht ganz zufällig ist Win32/Afcore auch unter dem Namen "Coreflood" bekannt - es handelt sich bei dem Schädling um ein Trojanisches Pferd, das infizierte Rechner als fremdgesteuerte Zombie-PCs in das Coreflood-Botnetz einreiht. Microsoft hat im Blog des Microsoft Malware Protection Center eine Analyse des Schädlings veröffentlicht.Jaime Wong und Jeff Williams berichten, dass Win32/Afcore seit seinem ersten Auftauchen im Jahr 2003 weiter entwickelt wurde und seit 2009 am Aufbau des Coreflood-Botnetzes mitwirkt. Win32/Afcore beendet den laufenden Prozess des Windows Explorer, um bei dessen Neustart geladen zu werden. Auch beim Starten des Internet Explorer wird der Schädling geladen. Dies stellt Win32/Afcore durch eine Reihe von Registry-Manipulationen sicher.Außerdem nutzt der Schädling das Jailbreak-Tool von iSec Partners, um als nicht exportierbar markierte Zertifikate aus dem Windows-Zertifikatsspeicher zu extrahieren. Diese Zertifikate könnte ein Angreifer für Angriffe auf Banken-Websites nutzen. Win32/Afcore überwacht zudem den Datenverkehr mit verschiedenen Websites, die etwa mit internationalem Zahlungsverkehr oder dem US-Gesundheitssystem zu tun haben, um vertrauliche Daten abzugreifen.Die Kooperation zwischen FBI und Microsoft dient dazu, die nunmehr führungslosen Zombie-PCs des abgeklemmten Coreflood-Botnetzes von der Bot-Malware zu befreien. Die Übernahme eines Botnetzes durch Behörden ist unter Sicherheitsexperten durchaus umstritten. Der direkte Zugriff auf die Botnetz-PCs könnte ungewollt auch Schäden und Datenverluste für die ahnungslosen PC-Benutzer bedeuten.

Mehr zum Thema

Windows Update: Screenshot