tom's networking guide
 
Anzeige
Kaspersky Lab: Online-Spieler im Visier von Phishing-Attacken >
< Box: Neue Integrationen für Microsoft Office
21.07.14 14:00 Alter: 6 Jahre
Kategorie: Heim-Anwender, Gamer, Administratoren, KMU, SOHO, Security, Anti-Virus, Hacking, Anti-Spam
Von: Maurice Hempel

Bitdefender entdeckt neue PushDo-Variante

Bitdefender-Mitarbeiter haben eine modifizierte Variante des PushDo-Trojaners entdeckt und warnen vor der Ausbreitung des Bot-Netzes.


Bitdefender-Logo

Bitdefender-Logo

Bitdefender-Infografik: Weltweite Verteilung des PushDo-Bot-Netzes.

Bitdefender-Infografik: Weltweite Verteilung des PushDo-Bot-Netzes.

Schwerte – Die Malware-Experten von Bitdefender melden eine neue Variante des PushDo-Trojaners. Der Virus war vor einigen Jahren für eines der effektivsten Spam-Botnetze verantwortlich. Nun ist er in einer modifizierten Variante wieder aufgetaucht und verbreitet sich mit einer rasanten Geschwindigkeit: Innerhalb von 48 Stunden wurden allein in Deutschland knapp 500 Fälle gemeldet.

Bei Schädlingen aus der PushDo-Familie handelt es sich um Trojan-Downloader. Damit sind Programme gemeint, die weitere Malware aus dem Internet herunterladen und installieren. Sobald der PushDo-Trojaner aktiv ist, baut er eine Verbindung zu seinem Kontroll-Server auf und überträgt an ihn zahlreiche Informationen des Rechners, den er aktuell infiziert hat. Die Informationen dienen in erster Line der Wieder-Erkennung sowie der Ortung und Länderzuordnung anhand der IP-Adresse.

Eigenschaften der neuen PushDo-Variante
In der aktuellen Variante der Schad-Software haben die Hintermänner unter anderen die öffentlichen und privaten Krypto-Schlüssel geändert, die für die Sicherung der Kommunikation zwischen den Bots und den Kontroll-Servern verantwortlich sind. Das Kommunikation-Protokoll ist laut Bitdefender gleichgeblieben. Dafür enthalten die neuen PushDo-Binärdateien jetzt eine Krypto-Schicht, mit der die Malware hinsichtlich ihrer Opfer wählerisch wird.

Die Krypto-Schicht enthält definierte Bedingungen, die erfüllt sein müssen, damit die Malware den Schad-Code korrekt ausführt. Ebenfalls enthalten diese Bedingungen eine Liste der circa 100 sauberen Domain-Namen, hinter denen sich der hartcodierte Domain-Name des Kontroll-Servers verbirgt. Die Hacker verwenden zudem einen neuen Domain-Generierungs-Algorithmus (DGA). Zwar ist die grundlegende Struktur des Algorithmus ist bis auf wenige Änderungen gleichgeblieben, jedoch haben sich einige Konstanten und Buchstaben-Listen geändert. Über diese lassen sich die Domain-Namenlänge und -Namen-Buchstaben definieren, weshalb sich die Domain-Namen geändert haben.

Der leitende Sicherheits-Stratege bei Bitdefender, Catalin Cosoi, sieht das Botnetz erst am Anfang seiner Entwicklung: "Gestern konnten wir PushDo-Datenverkehr erfolgreich abfangen, um uns ein Bild von der Größe des Botnetzes zu machen. Das schiere Ausmaß dieser kriminellen Operation ist besorgniserregend, mag sie noch so primitiv sein. Außerdem gibt es Anzeichen, dass das Botnetz weiter wächst. Die Nachforschungen in diesem Fall genießen oberste Priorität - alle neuen Entwicklungen werden wir in den kommenden Tagen veröffentlichen."

Derzeit breitet sich das Botnetz vor allem im asiatischen Raum aus. Indien, Vietnam und die Türkei sind bislang die am stärksten betroffenen Länder. Die Bitdefender Malware-Experten warnen jedoch genauso vor der Verbreitung in den westlichen Ländern: Demnach sind binnen 48 Stunden allein in Deutschland 496 Fälle bekannt geworden, 2243 in den USA, 665 in Frankreich und 429 in Großbritannien.


Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

CeBIT 2018 - ein holpriger Neustartversuch

CeBIT Logo

"Die CEBIT 2018 wird ein Business-Festival für Innovation und Digitalisierung", sagte Oliver Frese...

[mehr]

Trend Micro trauert um Günter Untucht

Günter Untucht (Bild: Trend Micro)

Der europäische Chefjustiziar von Trend Micro, Günter Untucht, ist Ende Januar überraschend...

[mehr]

Corel VideoStudio Ultimate 2018 mit neuen Funktionen verfügbar

Corel Logo (Grafik: Logo)

Erste Wahl für anspruchsvolle Gelegenheitsanwender – diesen Anspruch erfüllt das...

[mehr]

Argus 2 - kabellose Überwachungskamera für Akku- und Solarbetrieb

Die Argus 2 ist für innen und außen geeignet. (Bild: Reolink)

Reolink stellt mit der Argus 2 seine neueste Kamera vor. Die innovative Überwachungskamera...

[mehr]

Meltdown und Spectre: MSI liefert BIOS-Updates für Z370-Mainboard

MSI Logo

Mit den Updates will MSI mögliche SIcherheitslücken im aktuellen Intel-Microcode schließén. Updates...

[mehr]

CES 2018: Acer lässt Gamer-Herzen höher schlagen

Acer Nitro 5 (Bild: Acer)

Ob für Gamer, Kreative oder Business-Nutzer - auf der CES in Las Vegas stellt Acer für jeden etwas...

[mehr]
Anzeige
Anzeige