Bitdefender

Gemeinsame Aktion mit der rumänischen Polizei - Bitdefender hat ICEPOL Trojaner untersucht

Schwerte (ots) - Die Cybercrime-Ermittler von Bitdefender haben gemeinsam mit der rumänischen Polizei Festplatten-Images von Servern analysiert, die den ICEPOL Trojaner verteilten. Die Server wurden in Bukarest von der Polizei beschlagnahmt und geben interessante Einblicke in die Abläufe sowie "Erfolge" des Schadprogramms.

Im untersuchten Zeitraum vom 1. Mai bis 26. September 2013 haben die Server 267.786 erfolgreiche Installationen von ICEPOL geloggt. Die drei am häufigsten betroffenen Länder waren die USA mit 42.409, Deutschland mit 31.709 und Italien mit 24.863 Fällen. Alleine in den USA verzeichneten die Logs einen Gesamtschaden von 32.176,78 so genannten Geldeinheiten. Die Ermittler vermuten, dass es sich hierbei um US-Dollar handelt. Der Gesamtschaden beträgt 158.376 Einheiten.

Der rumänische Server ist Teil eines großen Verteilsystems von Schadprogrammen, das möglicherweise aus Dutzenden ähnlichen Servern besteht. Diese sind pyramidenartig organisiert, wobei eine Anzahl an Partner-Servern mit einem C&C-Server verbunden ist, der sich für die Verteilung der Malware verantwortlich zeichnet. Die Einheit aus Rumänien kommunizierte ursprünglich mit einem C&C-Server aus den Niederlanden. Nachdem die Behörden diesen geschlossen hatten, wurde er nach Deutschland verlegt.

"Die Ergebnisse der Untersuchung von ICEPOL basieren auf der Zusammenarbeit mit verschiedenen Strafverfolgungsbehörden und Drittanbietern", sagt der Leiter der Dienststelle gegen Cyberkriminalität der Rumänischen Nationalpolizei. "Trotz der komplexen Ermittlungen haben wir bislang sehr gute Resultate erzielt und wir werden weiterhin Cybercrime bekämpfen, obwohl eine fehlende Rechtsprechung in anderen Bereichen die Prozesse manchmal verlangsamt."

Die analysierten Server besaßen zwei Hauptfunktionen:

   1. Die Verteilung der Schadsoftware. Diese Ransomware verhinderte 
      den Zugriff auf den Computer aufgrund angeblicher 
      "Software-Piraterie" oder "pornografischer Aktivitäten". Um den
      Zugriff wieder zu erlangen, musste der Nutzer eine bestimmte 
      Gebühr an die "Polizei" bezahlen.
   2. Eine Pay-per-Klick-Komponente. Diese leitete die Opfer von 
      Porno-Webseiten auf infizierte Links mit Hilfe eines 
      Traffic-Austausch-Mechanismus. 

"Die kriminelle Unterwelt hat anscheinend Malware-Verteilungsnetze (MDNs) entwickelt, die sehr ähnlich wie legitime CDNs funktionieren, sogar bis hinunter zu Überweisungs- und Syndikats-Modellen zur Geldbeschaffung", erklärt Catalin Cosoi, Chief Security Strategist bei Bitdefender.

Nachdem die Nutzer unwissentlich den ICEPOL Trojaner heruntergeladen hatten, erpresste er sie durch eine Botschaft in einer von 25 Sprachen. Sie stammte angeblich von der Polizei und beschuldigte die Opfer, urheberrechtlich geschütztes Material oder illegale Pornografie heruntergeladen zu haben. Anschließend sperrte er den Desktop und forderte eine Gebühr, um die Blockierung wieder aufzuheben.

Die Komponente xstats war für die Registrierung der Domains zur Malware-Verteilung verantwortlich. Sie erzeugte bei Bedarf Domain-Namen durch die Verknüpfung von vier Wörtern aus einem Wörterbuch, das 551 Begriffe zum Thema Pornografie enthielt. Die IP-Adresse des neuen Hosts wurde dann aus einer Liste von 45 einmaligen IP-Adressen ausgewählt.

Die Verteilungsmethode für die Malware lässt ein pyramidenförmiges Modell vermuten. Denn die analysierte Server-Komponente promox lud Dateien von einer anderen Domain herunter, aber funktionierte selbst als Malware-Download-Quelle für Sub-Server.

Das Pay-per-Klick-Modul tds leitete einfach den eingehenden Datenverkehr auf eine Liste von Domains weiter, vermutlich von zahlenden Werbekunden oder anderen Trojaner-Verteilerseiten. Der Traffic wurde gemäß einer von Administratoren konfigurierten Liste mit Filterregeln behandelt. Diese umfassten zum Beispiel Herkunftsland, Betriebssystem, Browsertyp oder maximal erlaubte Anzahl an Klicks. Ein Teil des Datenverkehrs stammte von einigen pornografischen Webseiten in einem so genannten Traffic-Austauschmodell.

Über Bitdefender®

Bitdefender ist Hersteller einer der weltweit schnellsten und effektivsten Produktserien für international zertifizierte Internet-Sicherheits-Software. Seit dem Jahr 2001 ist das Unternehmen immer wieder ein innovativer Wegbereiter der Branche, indem es preisgekrönte Schutzlösungen einführt und weiterentwickelt. Mittlerweile setzen weltweit rund 400 Millionen Privat- und Geschäftsanwender auf die Bitdefender-Technologie, um ihre digitale Welt sicherer zu machen. Bitdefender hat vor kurzem eine Reihe wichtiger Empfehlungen und Auszeichnungen in der globalen Sicherheitsindustrie erhalten. Dazu gehören "Produkt des Jahres 2012" von AV-Comparatives, "Beste Reparatur 2012" von AV-Test und "Editor's Choice" des PC Mag. Diese Auszeichnungen bestätigen den Spitzenplatz der Software unter den Sicherheitslösungen. Weitere Informationen zu den Antivirenprodukten von Bitdefender sind im Bitdefender Security Center der Unternehmenswebseite im Pressecenter verfügbar.

Weitere Informationen über das Unternehmen und seine Produkte finden Sie unter www.bitdefender.de.

Über Bitdefender HOTforSecurity®

Zusätzlich veröffentlicht Bitdefender das englischsprachige Blog "HOTforSecurity", welches rund um die aktuelle Sicherheitslage weltweit informiert. Es bietet eine prickelnde Mischung aus nebulösen Computersicherheitsgeschichten und sachlich fundierten Stories, die die schmutzige Welt der Internetbetrügereien, Spams, Scams, Malware und des Klatsches sichtbar macht. Bitdefender pflegt auch eine deutsche HOTforSecurity-Version, die sich insbesondere auf die Nachrichtenlage im deutschsprachigen Raum (Deutschland, Österreich, Schweiz) konzentriert. Wollen Sie zu allen aktuellen Bedrohungen immer auf dem Laufenden sein, dann abonnieren Sie hier unseren Newsletter.

Pressekontakt:

Bitdefender
DV24, Building A
24 Delea Veche Street, Sector 2
Bukarest, 024102, Rumänien

Ansprechpartner:
Andrei Taflan
PR Coordinator
Tel.: +40 (0) 731 - 496 792
E-Mail: ataflan@bitdefender.com

Deutsche Niederlassung:
Bitdefender GmbH
TechnoPark Schwerte
Lohbachstrasse 12
D - 58239 Schwerte

PR-Agentur:
Fink & Fuchs PR AG
Paul-Heyse-Str. 29
D-80336 München

Ansprechpartner:
Michaela Eichner
Tel.: +49 (0)89 - 589787-14
E-Mail: bitdefender@ffpr.de
Original-Content von: Bitdefender, übermittelt durch news aktuell

Das könnte Sie auch interessieren: