28.03.2012 16:35 Uhr in Computer & Internet von DATSEC Datsec Security
Neues Computer-Botnet missbraucht Regierungs-Server
Win32/Georbot treibt in Georgien ein perfides SpielKurzfassung: (ddp direct) Die Schadsoftware Win32/Georbot erregte bei den ESET-Virenspezialisten bereits Anfang dieses Jahres enorme Aufmerksamkeit. Dieser virtuelle Agent aus Trojaner und Bot stiehlt in meisterhafter James Bond-Manier wertvolle Daten und Informationen auf infizierten Systemen. Dabei nutzt er auf illegale Weise Webseiten und Server der georgischen Regierung. Eine umfangreiche Analyse des Botnets befindet sich unter www.eset.de oder unter ...
[DATSEC Datsec Security - 28.03.2012] (ddp direct) Die Schadsoftware Win32/Georbot erregte bei den ESET-Virenspezialisten bereits Anfang dieses Jahres enorme Aufmerksamkeit. Dieser virtuelle Agent aus Trojaner und Bot stiehlt in meisterhafter James Bond-Manier wertvolle Daten und Informationen auf infizierten Systemen. Dabei nutzt er auf illegale Weise Webseiten und Server der georgischen Regierung. Eine umfangreiche Analyse des Botnets befindet sich unter www.eset.de oder unter http://www.themenportal.de/dokumente/analyse-von-win32-georbot
Die Entdeckung eines Botnets ist inzwischen nichts Ungewöhnliches mehr. Den meisten Funden können Technikfreaks und Virenexperten nur noch ein müdes Lächeln abringen. Doch Win32/Georbot sorgte im ESET-Virenlabor bereits zum zweiten Mal in diesem Jahr für Aufsehen.
Nach ersten Forschungen konnten ESET-Experten auf das Kontrollzentrum der Schadsoftware zugreifen. Im Gegensatz zu den kürzlich entdeckten Schadprogrammen Win32/Stuxnet und Win32/Duqu, die ein Beispiel gut organisierter und professioneller Cyberkriminellen sind, verfügt Win32/Georbot über eine einzigartige Technologie und noch ausgefeiltere Funktionen, um an Informationen zu gelangen. Das Bemerkenswerte und Interessante an Win32/Georbot ist, dass die Schadsoftware Dokumente und Zertifikate stiehlt. Zudem ist sie in der Lage, neben dem üblichen Bespitzelungsdienst Audio-, Videoaufnahmen und Screenshots zu erstellen, lokale Netzwerke nach Informationen zu durchsuchen, das System auf Remote Desktop Konfigurationsdateien zu überprüfen und DDoS Attacken durchzuführen. Hacker können diese Dateien auf andere Rechner laden und sich Zugriffsrechte verschaffen, ohne dass der Nutzer es bemerkt. Hinzu kommt, dass Win32/Georbot einen Update-Mechanismus beinhaltet, der immer wieder neue Versionen des Bots herunterlädt und auf diese Weise den Viren-Scannern verborgen bleiben kann.
Dabei nutzt Win32/Georbot illegal Webseiten der georgischen Regierung, um seine Command-and-Control-Informationen (C&C) herunterzuladen. Sobald die Schadsoftware den C&C-Server nicht erreichen kann, greift ein integrierter Fall-Back-Mechanismus. Sodann verbindet sich das Programm zu einer bestimmten Webseite, das von der georgischen Regierung gehostet wird. Dies aber heißt nicht, dass diese in die Vorfälle verwickelt ist. Oft wissen viele nicht einmal, dass Ihre Systeme gefährdet sind, sagt Marc-Pierre Bureau, Sicherheitsexperte bei ESET. Allerdings nahmen die Agentur für Datenaustausch des Georgischen Justizministeriums und das georgische CERT bereits letztes Jahr dieses Problem wahr und kooperieren seitdem mit ESET. In Georgien sind 70% der Rechner infiziert, gefolgt von den USA (5.07%), Deutschland (3.88%) und Russland (3.58%). Die Tatsache, dass Win32/Georbot eine georgische Webseite nutze, um seine C&C-Informationen zu aktualisieren und die Schadsoftware zu verbreiten, spreche für einen gezielten Angriff auf die georgische Bevölkerung, so Bureau weiter.
Die ESET-Experten entdeckten im Kontrollzentrum des Bots nicht nur Details über die Anzahl und Orte der gefährdeten Systeme, sondern auch eine Liste mit Stichwörtern, anhand derer Dokumente und Dateien durchsucht wurden. Darunter befinden sich viele englischsprachige Suchbegriffe wie agent, army, secret, weapon, phone, number und Abkürzungen wie FBI, CIA, KGB und FSB.
Auch wenn die Intention der Hacker eindeutig scheint, bleibt offen, wohin diese Daten letztendlich fließen.
Weitere Informationen erhalten Sie unter www.eset.de.
Shortlink zu dieser Pressemitteilung:
http://shortpr.com/vm7w9y
Permanentlink zu dieser Pressemitteilung:
http://www.themenportal.de/digital-world/neues-computer-botnet-missbraucht-regierungs-server-88295
Die Entdeckung eines Botnets ist inzwischen nichts Ungewöhnliches mehr. Den meisten Funden können Technikfreaks und Virenexperten nur noch ein müdes Lächeln abringen. Doch Win32/Georbot sorgte im ESET-Virenlabor bereits zum zweiten Mal in diesem Jahr für Aufsehen.
Nach ersten Forschungen konnten ESET-Experten auf das Kontrollzentrum der Schadsoftware zugreifen. Im Gegensatz zu den kürzlich entdeckten Schadprogrammen Win32/Stuxnet und Win32/Duqu, die ein Beispiel gut organisierter und professioneller Cyberkriminellen sind, verfügt Win32/Georbot über eine einzigartige Technologie und noch ausgefeiltere Funktionen, um an Informationen zu gelangen. Das Bemerkenswerte und Interessante an Win32/Georbot ist, dass die Schadsoftware Dokumente und Zertifikate stiehlt. Zudem ist sie in der Lage, neben dem üblichen Bespitzelungsdienst Audio-, Videoaufnahmen und Screenshots zu erstellen, lokale Netzwerke nach Informationen zu durchsuchen, das System auf Remote Desktop Konfigurationsdateien zu überprüfen und DDoS Attacken durchzuführen. Hacker können diese Dateien auf andere Rechner laden und sich Zugriffsrechte verschaffen, ohne dass der Nutzer es bemerkt. Hinzu kommt, dass Win32/Georbot einen Update-Mechanismus beinhaltet, der immer wieder neue Versionen des Bots herunterlädt und auf diese Weise den Viren-Scannern verborgen bleiben kann.
Dabei nutzt Win32/Georbot illegal Webseiten der georgischen Regierung, um seine Command-and-Control-Informationen (C&C) herunterzuladen. Sobald die Schadsoftware den C&C-Server nicht erreichen kann, greift ein integrierter Fall-Back-Mechanismus. Sodann verbindet sich das Programm zu einer bestimmten Webseite, das von der georgischen Regierung gehostet wird. Dies aber heißt nicht, dass diese in die Vorfälle verwickelt ist. Oft wissen viele nicht einmal, dass Ihre Systeme gefährdet sind, sagt Marc-Pierre Bureau, Sicherheitsexperte bei ESET. Allerdings nahmen die Agentur für Datenaustausch des Georgischen Justizministeriums und das georgische CERT bereits letztes Jahr dieses Problem wahr und kooperieren seitdem mit ESET. In Georgien sind 70% der Rechner infiziert, gefolgt von den USA (5.07%), Deutschland (3.88%) und Russland (3.58%). Die Tatsache, dass Win32/Georbot eine georgische Webseite nutze, um seine C&C-Informationen zu aktualisieren und die Schadsoftware zu verbreiten, spreche für einen gezielten Angriff auf die georgische Bevölkerung, so Bureau weiter.
Die ESET-Experten entdeckten im Kontrollzentrum des Bots nicht nur Details über die Anzahl und Orte der gefährdeten Systeme, sondern auch eine Liste mit Stichwörtern, anhand derer Dokumente und Dateien durchsucht wurden. Darunter befinden sich viele englischsprachige Suchbegriffe wie agent, army, secret, weapon, phone, number und Abkürzungen wie FBI, CIA, KGB und FSB.
Auch wenn die Intention der Hacker eindeutig scheint, bleibt offen, wohin diese Daten letztendlich fließen.
Weitere Informationen erhalten Sie unter www.eset.de.
Shortlink zu dieser Pressemitteilung:
http://shortpr.com/vm7w9y
Permanentlink zu dieser Pressemitteilung:
http://www.themenportal.de/digital-world/neues-computer-botnet-missbraucht-regierungs-server-88295
Weitere Informationen
DATSEC Datsec Security, Herr Michael Klatte
Talstraße 84, 07743 Jena, -
Tel.: +49 3641 3114 257; http://www.eset.de
Talstraße 84, 07743 Jena, -
Tel.: +49 3641 3114 257; http://www.eset.de
Weitere Meldungen dieses Unternehmens
14.12.2012 ESET schnürt Sicherheitspakete für KMU 

08.10.2012 ESET USSD Control schließt Smartphone-Leck
Pressefach abonnieren
via RSS-Feed abonnieren
via E-Mail abonnieren
Pressekontakt
Herr Michael Klatte
DATSEC Datsec Security
Talstraße 84
07743 Jena
-
Drucken
Weiterempfehlen
PDF
Schlagworte
Permanentlinks
https://www.prmaximus.de/43342DATSEC Datsec Security
Talstraße 84
07743 Jena
-
https://www.prmaximus.de/pressefach/datsec-datsec-security-pressefach.html
Die Pressemeldung "Neues Computer-Botnet missbraucht Regierungs-Server" unterliegt dem Urheberrecht.
Jegliche Verwendung dieses Textes, auch auszugsweise, erfordert die vorherige schriftliche Erlaubnis des Autors.
Autor der Pressemeldung "Neues Computer-Botnet missbraucht Regierungs-Server" ist DATSEC Datsec Security, vertreten durch Michael Klatte.