19.11.2006 | Autor / Redakteur: Bill Brenner, Senior News Editor und Dennis Fisher Editor in Chief SearchSecurity.com / Achim Karpf
Die Spamwoge hat in den letzten Wochen ein unvorstellbares Maß erreicht und Experten haben einen Hauptverantwortlichen hinter dem heftigen Angriff ausgemacht. Laut einer Studie von Joe Stewart, einem Senior Analysten von Secureworks, soll eine russische Bande von Spammern den Spamthru Trojaner dazu verwenden, Massen von Junk-Mails zu versenden.
Stewart fand heraus, dass die Spammer den Trojaner benutzten, um ein Botnet von mehr als 70.000 Rechner aufzubauen, die wiederum eingesetzt wurden, um massenhaft Spam-Mails für Pharmazeutika und Aktienempfehlungen zu versenden.
In Zusammenarbeit mit der Antispam-Gruppe Spamhaus und einem ISP konnte Secureworks Dateien des Spamthru-Kontrollservers analysieren, so Stewart in seiner Studie. Insgesamt sollen Zombie-PCs in 166 verschiedenen Ländern in die Spamthru-Botnets eingebunden sein.
„Der Spamthru-Controller führt eine Statistik über das Herkunftsland aller Bots im Botnet“, stellte Stewart in seiner Analyse fest. „Obwohl die USA die höchste Anzahl von Infektionen hat, wird die Botverteilung auf kein besonderes Land beschränkt.“
Stewart geht davon aus, dass Spamthru in einer Peer-to-Peer-Umgebung läuft, aber das alle Bots an einen zentralen Kontrollserver berichten. Die Bots sind in verschiedene Serverports segmentiert, die jeweils von der Variante des Trojaners bestimmt sind. „Die Bots werden weiter in Peer-Gruppen von nicht mehr als 512 Bots segmentiert um den Informationsaustausch zwischen den anderen Peers so gering wie möglich zu halten“ ergänzt er.
„Der Erfolg von Infektionen mit Spamthrus basierte auf einigen innovativen Strategien“, so Stewart. Spamthrus können Systeme mit einer gehackten Antivirus-Version von Kaspersky nach anderen Malware-Programmen durchsuchen. Das Durchsuchen generiert einen Bericht, der auf den Kontrollserver hochgeladen werden kann oder auch nicht.
„In den gesendeten Berichten, erhält man eine Liste von infizierten Dateien mit den Namen der entsprechenden Malware-Programmen“, ergänzt er. „Insgesamt wurden 3.863 bekannte Malware-Varianten auf den Systemen gefunden, die dem Kontrollserver Suchberichte zurückschickten.“
Spamthru kann auch eine Liste von Proxy-Servern verwenden, die vom Controller verwaltet werden, um Antispam-Blacklists mit Bot-IP-Adressen zu umgehen“. Auf diese Weise wirkt Spamthru als massive Verteilerstation für das Senden der Spams, ohne die Kosten für die Erhaltung von statischen Servern“, erläutert Stewart. „Die gesamte Spam-Kapazität ist ziemlich hoch. Mit 73.000 Bots mit einer geschätzten durchschnittlichen SMTP-Transaktionszeit von fünf Sekunden, ist das Botnet theoretisch in der Lage, an einem einzigen Tag eine Milliarde Spams zu versenden.“
Das Botnet speichert auch allgemeine Listen von Millionen von E-Mail-Adressen. Ein Malware-Programm, das von Kaspersky-Antivirus erkannt wurde, war Backdoor.Win32.Agent.ail, das automatisch über den Fernsteuermechanismus von Spamthrus installiert wurde. Das Programm wurde speziell dafür entworfen, E-Mail-Adressen von Festplatten von infizierten Systemen auszulesen. „Dies erlaubte Spammer Benutzer zu erreichen, die nie ihre E-Mail-Adresse online herausgegeben haben beziehungsweise Ihre Adresse niemals fremden Personen gegeben haben, erläutert Stewart.
„Es scheint auch so, das Spammer versuchen, weitere E-Mail-Adresslisten zu erhalten, in dem sie in kleinere Investment-Websites und andere E-Business-Seiten hacken um die Benutzerdatenbanken herauslesen“ ergänzt Stewart. „Dies ist wahrscheinlich, da sogenannte „pump-und-dump“ Aktien-Spam ein Hauptmotiv von den Botnets zu sein scheint.“
Pump-and-Dump: Bei diesem Schwindel treiben die Betrüger die Preise bestimmter Aktien künstlich in die Höhe - pumpen - um selbst Millionen von Dollar durch ihren Verkauf einzustecken Wenn dann die Preise wieder fallen, bleiben den Investoren nichts als wertlose Papiere.
Auf Grundlage von Dateinamen und Text, die im Quellencode der Spammer gefunden wurden, schloss Stewart, dass Spamthru von einem oder mehreren Russen gemanaged wird, die an einem bestimmten pump-and-dump-Aktien- und Penis-Verlängerungs-Spam festhalten.
„Natürlich stört die Spammer der kriminelle Hintergrund ihrer Aktivitäten nicht, da in Russland Spammer und Viren-Programmierer kaum strafrechtlich verfolgt werden“, erklärt Stewart. „Wegen dieser Faktoren und dem Peer-to-Peer-Hintergrund des Spamthru-Botnets ist es wahrscheinlich, dass wir diese Spam-Operation noch sehr lange im Internet sehen werden.“
Stewarts Ergebnisse sind die letzten in einer Reihe von Berichten, die Spam auf diesem beispiellosen Niveau zeigen.
Postini aus Kalifornien stellte zum Beispiel fest, dass der Spam-Level in einem Zeitraum von acht Wochen um fast 60% zugenommen habt und dass 91% aller E-Mails ihrer Kunden jetzt Spams sind. Postini überwacht 10 Millionen Benutzer in 36.000 Unternehmen weltweit. Von dieser Menge bekommt der Benutzer durchschnittlich sieben gewollte E-Mails pro Tag, während Postini 77 unerwünschte E-Mails pro Tag blockiert.
Die Firma Sophos aus England gab einen Bericht heraus, der die obersten fünf Spam-Länder im dritten Quartal von 2006 identifiziert:
Sophos schloss, dass ein möglicher Grund für Amerikas wachsende Führung im Verteilen Spams gegenüber seinem nächsten Rivalen China, das Aufkommen von über 300 Strängen des Mass-Spam-Wurms Stratio ist. Der Wurm, bekannt auch als Stration und Warezov, „benutzt einen Trick, wenn das Opfer in der Lage ist, Englisch zu sprechen, um arglose PCs in Mitglieder eines Spam-Botnets umzuwandeln,“ stellt Sophos auf seiner Website dar.
Experten von Symantec erklärten, dass ihre Analysen der letzten zwei Monate eine allgemeine Spam-Zunahme von 22% zeigt, fast alle auf der Grundlage von neueren, flexibleren und besser verschleierten Spambots.
„Diese neuen Bots führen jetzt Echtzeit-DNS-Suchen aus, so dass ihre Nachrichten nicht annähernd so oft zurückgewiesen werden wie früher“, führt Vincent Weafer, Senior Director Development von Symantec aus. „Unsere allgemeine Aufdeckung dieser Spams steigt, aber es stellt immer noch ein großes Problem dar. Sie werden definitiv hoch entwickelter, smarter und fokussierter.“
Weafer erklärt zudem, dass das Niveau bei Intensität und Volumen der Spam- und Phishing-Angriffe in 2006 stetig angewachsen ist und er erwartet, dass dieser Trend im neuen Jahr weitergeht.
„Die Angreifer machen ihre Sache im geschickter. Die Werkzeuge, die die Spammer verwenden, werden immer effizienter. Sie wissen oft nicht, dass die Programme, die sie verwenden, von organisierten Verbrechersyndikaten kommen und mit Hintertüren versehen sind; sie wissen nur, dass sie besser funktionieren als bisher“, stellt er klar. „Die Botnets sind mit Sicherheit die Treiber. Die Kommando- und Kontrollserver verschwinden nach ein bis zwei Stunden und tauchen woanders auf, was zur Frustration derer beiträgt, die versuchen, sie zu schließen. Es gibt bisher keine Zauberformel für dieses Thema.“
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2000939)
