Lücke bei Zulieferern

Trojaner auf neuen PCs für Aufbau von Botnet vorinstalliert

(Bild: thinkstockphotos.de, krone.at-Grafik)

Nur weil ein PC neu ist, bedeutet das nicht, dass er frei von Viren ist. Wie Microsoft aufzeigt, wurden in China reihenweise Computer mit einem vorinstallierten Schädling ausgeliefert. Genutzt wurde dieser für den Aufbau eines Botnetzes, das der Softwarekonzern jetzt abschalten konnte.

Bereits im August des Vorjahres hatten Mitarbeiter von Microsofts Einheit zur Bekämpfung digitaler Verbrechen (Digital Crime Unit) in mehreren chinesischen Städten 20 Rechner - sowohl PCs als auch Notebooks - gekauft. Obwohl originalverpackt, erwiesen sich vier davon als vorbelastet: Auf ihnen fanden die Experten einen Virus, offenbar eingeschleust mithilfe gefälschter Windows-Software durch unsichere Stellen in der Zulieferkette der Hersteller, wie Microsoft-Anwalt Richard Domingues Boscovich in einem Blogeintrag vom Donnerstag schreibt.

Wie eine "ansteckende Krankheit"
Der Schädling, ein Trojaner namens Nitol, verbreitete sich dem Softwarekonzern zufolge wie eine "ansteckende Krankheit" über portable Speichermedien wie USB-Sticks oder externe Festplatten und infizierte so schnell Rechner aus dem familiären oder kollegialen Umfeld. Sein Verhalten – Nitol "telefonierte" nach Hause – brachte Microsoft schließlich auf die Spur eines Botnetzes. Genutzt wurde dieser Zusammenschluss infizierter Rechner vornehmlich, um gezielt sogenannte DDoS-Attacken (Distributed Denial of Service) durchzuführen und so andere Server lahmzulegen.

Seine Befehle erhielt das Botnetz, wie die Experten schließlich herausfanden, größtenteils über die Domain 3322.org, die auf über 70.000 Unter-Domains an die 500 verschiedene Schädlinge hortete und verbreitete - darunter etwa Malware, über die sich Mikrofon und Webcam eines infizierten Rechners aktivieren oder beispielsweise sämtliche Tastenanschläge aufzeichnen ließen.

Domain beschlagnahmt
Im Rahmen der "Operation b70" gelang es Microsoft nun, diese Kontroll-Infrastruktur abzuschalten. Ausgestattet mit der Vollmacht eines US-Bezirksgerichts, konnte der Softwarekonzern die beim Web-Hoster Bei Te Kang Mu Software Technology registrierte Domain beschlagnahmen und das Botnetz deaktivieren, wie die "New York Times" berichtet.

Dieser Schritt werde den Einfluss Nitols drastisch reduzieren, schrieb Microsoft-Anwalt Boscovich. Cyberkriminelle hätten deutlich gezeigt, dass jeder mit einem Computer unwissentlich zur Malware-Schleuder werden könne - das Abschalten des Botnetzes sei ein "Schritt in die richtige Richtung, dies zu verhindern". Zugleich verwies Boscovich darauf, dass Konsumenten bei den Händlern ihr Recht einfordern sollten, mit originaler und vor allem virenfreier Software beliefert zu werden.

Web-Hoster weist Mitschuld von sich
Peng Yong, Chef des Web-Hosters Bei Te Kang Mu Software Technology, wies indes in einem Interview mit der Nachrichtenagentur AP eine Mitschuld von sich. Sein Unternehmen betreue 2,85 Millionen Domains und könne deshalb nicht ausschließen, dass einige davon von Individuen für schädliche Zwecke missbraucht würden. Zugleich betonte er jedoch, eine "Null-Toleranz-Politik" gegenüber illegalen Aktivitäten auf den von ihm verwalteten Domains zu verfolgen.