Hlux/Kelihos-Botnetz von KASPERSKY lab, Microsoft und Kyrus Tech gemeinsam zerschlagen

Gefährliches Peer-to-Peer-Botnetz mit mehr als 40.000 infizierten Rechnern

[datensicherheit.de, 01.10.2011] KASPERSKY lab, Microsoft und Kyrus Tech haben nach eigenen Angaben in enger Kooperation die Kontrolle über das gefährliche Peer-to-Peer-Botnetz „Hlux“, auch bekannt als „Kelihos“, übernommen:
Das „Zombie-Netz“ sei vor allem für Spamversand, den Diebstahl sensibler Finanzinformationen und DDoS-Attacken verantwortlich. Microsoft habe gegen 24 Hintermänner des Botnetzes juristische Schritte eingeleitet, um die Command-and-Control Domains des Botnetzes stillzulegen. KASPERSKY lab Lab und Kyrus Tech hätten dabei vor allem ihre technische Expertise einbringen können. Beim Abschalten des Botnetzes habe KASPERSKY lab Microsoft unter anderem bei der Analyse der Kommunikationsprotokolle und bei der Entwicklung von Werkzeugen unterstützt, mit denen die Peer-to-Peer-Infrastruktur des Botnetzes habe aufgebrochen werden können; zudem sei sein Live-Botnetz-Tracking-System zur Verfügung gestellt worden.
KASPERSKY lab habe bei der Zerschlagungsoperation eine Schlüsselrolle gespielt, indem ihnen wichtiges Insiderwissen basierend auf ihren technischen Analysen und ihrer Expertise über „Kelihos“ zur Verfügung gestellt worden sei, so Richard Boscovich, „Senior Attorney“ der „Microsoft Digital Crimes Unit“. Dadurch hätten sie gemeinsam einen „tollen Erfolg“ verbuchen und weitere Erkenntnisse bei der Analyse und der Struktur von Botnetzen gewinnen können.
Durch sogenanntes „Sinkholing“, quasi ein „Untergraben“ des Botnetzes, existiere der Verbund von „Zombie-Rechnern“ zwar noch, werde aber von KASPERSKY lab und Microsoft kontrolliert. Derzeit würden sich pro Minute etwa 3.000 Hosts mit dem „Sinkhole“ verbinden. „Hlux“ könne allerdings nur dauerhaft ausgeschaltet werden, wenn alle mit „Hlux“ infizierten Maschinen gesäubert würden. Dazu habe das „Malware Protection Center“ von Microsoft bereits ein Entdeckungsprogramm für „Kelihos“ zu seinem „Malicious Software Removal Tool“ hinzugefügt. Durch diese Aktionen sollte die Anzahl infizierter Computer in nächster Zeit spürbar sinken.
Seit ihrer „Sinkholing-Operation“ am 26. September 2011 sei das Botnetz außer Betrieb. Da mittlerweile die Bots mit ihren Maschinen kommunizierten, könnten sie über sogenanntes „Data-Mining“ beispielsweise die Infizierungen pro Land nachvollziehen. Bisher hätten sie 40.000 infizierte Rechner identifizieren und über die jeweiligen ISPs die Netzwerk-Besitzer über die Infektionen informieren können, so Tillmann Werner, „Senior Virus Analyst“ bei KASPERSKY lab.

Weitere Informationen zum Thema:

SECURELIST, 28.09.2011
Tillmann Werner / Botnet Shutdown Success Story: How Kaspersky Lab Disabled the Hlux/Kelihos Botnet

The Official Microsoft Blog, 27.09.2011
Microsoft Neutralizes Kelihos Botnet, Names Defendant in Case