Forscher kapern Botnet

Eigentlich baut der Trojaner Torpig (alias Sinowal) ein sehr fortschrittliches Botnet auf, dennoch gelang es Forschern der University of California in Santa Barbara dieses zu kapern. Sie ermittelten, welche Domains die Bots kontaktieren würden, und registrierten einige davon – so konnten sie die infizierten Rechner mit neuen Anweisungen versorgen und bekamen massenhaft Daten geschickt. Immerhin zehn Tage behielten sie die Kontrolle, bevor es den Botnet-Betreiber gelangt, ihr Netzwerk zurückzuerobern.

In einem PDF mit dem Titel »Your Botnet is My Botnet: Analysis of a Botnet Takeover« berichten die Forschern nun von dieser Zeit, in der sie mehr als 70 GByte Daten sammelten. So schickten die infizierten Rechner knapp 298 000 Logins an die Control-Server, unter anderem für Mail- und FTP-Accounts, Windows und zahlreiche Online-Dienste wie Google Mail, Facebook und MySpace. Auch 8310 Kontodaten erhielten die Forscher sowie 1660 Kreditkartennummern.

In den zehn Tagen wurden die Control-Server der Forscher von etwas über 180 000 Clients kontaktiert. Die Zahl ließ sich so genau ermitteln, weil Torpig allen infizierten Rechnern eine eindeutige ID zuweist – eine wichtige Erkenntnis, denn die Anfragen von 1,25 Millionen IP-Adressen, was zeigt, dass die Zahl der IPs kaum etwas über die Größe eines Botnets aussagt. Die Forscher vermuten daher auch, dass bisherige Schätzungen, was die Größe von Botnets angeht, oft daneben liegen – etwa beim Storm-Botnet oder Conficker. (Daniel Dubsky)