Suchen

Kampf gegen Botnetze Coreflood aka AFcore – Microsoft aktualisiert Malware-Signaturen

| Redakteur: Stephan Augsten

Mit einem Update für das Tool zum Entfernen bösartiger Software läutet Microsoft die nächste Runde im Kampf gegen Botnetze ein. Wichtigster Verbündeter ist erneut das FBI, der aktuelle Kontrahent das Coreflood Botnet. Das Malicious Software Removal Tool soll Neuinfektionen mit Coreflood alias AFcore verhindern, um das Botnetz in seiner Regeneration und Mutation zu stören.

Firmen zum Thema

Microsoft will verhindern, dass das Coreflood-Botnetz neue Strukturen aufbaut.
Microsoft will verhindern, dass das Coreflood-Botnetz neue Strukturen aufbaut.
( Archiv: Vogel Business Media )

Durch ein außerplanmäßiges Update wird das Tool zum Entfernen bösartiger Software (Malicious Software Removal Tool, MSRT) um mehrere Malware-Signaturen ergänzt. Damit erkennt das Tool verschiedene Varianten des Coreflood-Trojaners, die erst kürzlich von den Autoren in die freie Wildbahn entlassen wurden.

Dies zeigt die taktische Raffinesse der Botnetz-Betreiber: Offensichtlich hatten sie mit der Schadcode-Verbreitung bis zum 12. April 2011 gewartet. Dabei handelt es sich ganz genau um das Datum des letzten planmäßigen Microsoft Patchday, an dem das MSRT traditionell aktualisiert wird.

Weltweit sind geschätzte zwei Millionen Computer mit Coreflood/AFcore infiziert. Das Coreflood-Botnetz gefährdet vor allem Firmen-Netzwerke, da die Stärke der Malware darin liegt, sich über lokale Netze zu verbreiten. Wird ein Rechner infiziert, so fängt die Malware Tastatur-Eingaben per Keylogger ab und stiehlt allerhand gespeicherte Informationen, darunter auch Finanzdaten und geistiges Eigentum.

Botnetz wird gegen sich selbst gerichtet

Damit hat das Botnetz auch bei den amerikanischen Behörden Aufmerksamkeit erregt. Sowohl das amerikanische Justizministerium als auch das FBI haben sich dem Kampf gegen Coreflood verschrieben. Auf Drängen der Behörden schalteten etliche Hosting-Provider die Command-and-Control-Server (C&C-Server) des Botnetzes ab.

Fünf solcher C&C-Server sowie 29 zugehörige Domains wurden unter staatliche Kontrolle gebracht. Bereits gekaperte Rechner sollen nun über die bestehende Botnetz-Struktur wieder bereinigt werden, Microsoft verhindert wie erwähnt die neuerliche Ausbreitung von Coreflood.

Damit nicht genug, soll die neueste MSRT-Version auch weitere Malware-Familien eindämmen. Das Microsoft-Update beinhaltet außerdem Malware-Signaturen für die Microsoft Security Essentials sowie für Forefront-Produkte und sollte deshalb unbedingt eingespielt werden.

(ID:2051172)