Spanische Polizei sprengt Riesen-Botnetz

Der “Schmetterling” ist für die Experten von MessageLabs Intelligence kein Unbekannter. Sie beobachten das kriminelle Netzwerk seit Ende vergangenen Jahres. Dabei trat vor allem zu Tage, was Mariposa nicht ist, nämlich ein klassisches Spam-Botnetz.

In den so genannten Honeypots der Analysten waren so gut wie keine unerwünschten Nachrichten aus dem jetzt gesprengten Botnetz mit seinen rund 13 Millionen PCs zu finden. Zum Vergleich: Cutwail, eine der größten Spam-Schleudern, verfügt nur über rund 1,5 Millionen Zombie-Rechner. Der Zweck des spanischen Botnetzes scheint viel eher Datenklau zu sein: Die Hintermänner hatten es auf sensible Informationen von den befallenen PCs abgesehen.

Auch über die Verbreitungswege des Trojaners, den Symantec als w32.Pilleuz identifiziert, liegen den Experten von MessageLabs Intelligence Erkenntnisse vor. Seit Anfang Januar 2010 wurden wiederholt Zugriffe auf URLs blockiert, die alle auf ausführbare .exe-Dateien verwiesen. Die entsprechenden Domains waren vergleichsweise jung, sie stammen alle aus diesem und dem vergangenen Jahr.

Im Durchschnitt traten täglich etwa vier Zugriffe auf. Dabei hatten die Nutzer häufig Links in Nachrichten aus Instant Messages angeklickt. Außerdem scheint sich die Malware in Tauschbörsen und mittels USB-Speichermedien zu verbreiten. Nach Beobachtungen von Symantec Hosted Services entstand das Mariposa Botnetz größtenteils mit Hilfe des so genannten Butterfly-Toolkits. Dieses Anwendungspaket wurde im Internet zum Kauf angeboten, ist inzwischen aber nicht mehr auf dem Markt.