Foto: Gunnar Assmy - Fotolia.com
Seit ein paar Jahren sind Botnetze das wichtigste Werkzeug für Online-Kriminelle. Sie bringen durch spezielle Schädlinge, die Bots, fremde Rechner unter ihre Kontrolle. Sie installieren darauf oft weitere Programme, etwa zum Versenden von Spam-Mails oder um koordinierte Angriffe auf Web-Server zu starten. Deutschland ist in Europa weit vorn, was die Durchseuchung mit Botnetzen betrifft.
Foto: Kaspersky Lab
Botnetze werden oft über zentrale Kommando-Server, auch als Mutterschiffe bezeichnet, gesteuert. Die infizierten Rechner, Zombies genannt, halten Kontakt mit einem der Mutterschiffe oder untereinander. Sie geben ausgespähte Daten wie etwa Passwörter für Online-Spiel und Banken-Websites, aber auch gesammelte Mail-Adressen oder Kreditkartendaten weiter. Sie erhalten vom Mutterschiff, teils über zwischen geschaltete Relay-Rechner (Repeater), Instruktionen, etwa Adressen und Inhalte von zu versendenden Spam-Mails.
Foto: Honeyblog.org
Eine Reihe von Botnetzen verzichtet auf zentrale Kommando-Server und setzt auf eine P2P-Struktur. Die Zombies sind untereinander vernetzt und die Steuerungsbefehle werden von Betreibern des Netzes, Bot-Herder oder Bot-Master genannt, in das dezentralisierte Botnetz eingespeist. Auf ähnliche Weise gelangen gesammelte Daten zu einer Drop-Box, einem Server, der die Daten akkumuliert und aufbereitet. Komplexere Botnetze weisen mehrere Kommando-Ebenen auf, über die verschiedene Aufgabenbereiche verteilt sind. Neuerdings werden Botnetze auch über soziale Netzwerke wie Twitter gesteuert .
Wie kommen die Bots auf den PC?
Foto: Bitdefender
Die Bot-Software gelangt auf den gleichen Wegen in den PC wie herkömmliche Malware. Sie werden unter allerlei Vorwänden als Mail-Anhänge verschickt, als vermeintlich nutzbringende Programme zum Download angeboten, stecken in infizierten Raubkopien legitimer Programme oder werden über Sicherheitslücken im Browser und dessen Erweiterungen (Plug-ins) eingeschleust.
Oft installieren Bots auch so genannte Rootkits, Malware-Tarnkappen, mit denen sie ihre Existenz und Aktivitäten vor dem Benutzer und vor Antivirusprogrammen zu verbergen versuchen. Dazu biegen die Rootkits Systemaufrufe um, sodass bestimmte Dateien vom Betriebssystem nicht angezeigt werden.
Foto: eleven.de
Antivirushersteller haben darauf reagiert und spezielle Routinen in ihre Produkte eingebaut, um Rootkits zu enttarnen. Dazu nutzen sie etwa den Umstand, dass es mehrere Möglichkeiten gibt eine Liste vorhandener Dateien zu erhalten. Gibt es Diskrepanzen zwischen den Ergebnissen dieser Methoden, kann das ein Hinweis auf ein installiertes Rootkit sein.
Wie schützen Sie sich vor Bot-Infektionen?
Um sich vor der Infektion durch einen Bot zu schützen, sollten Sie die gleichen Tipps beherzigen, die auch dem Schutz vor anderen Schädlingen dienen:
-
melden Sie sich für die Internet-Nutzung als eingeschränkter Benutzer an, nicht als Administrator
-
installieren Sie regelmäßig Sicherheits-Updates für das Betriebssystem, den Web-Browser und dessen Plug-ins sowie für andere Internet-fähige Programme (Mail, IM/Chat, VoIP, Media Player); nutzen Sie dazu am besten vorhandene automatische Update-Funktionen
-
installieren Sie eine gute Antivirus-Software, die sich automatisch aktuell hält und permanent alle Wege überwacht, auf denen Malware in den Rechner gelangen kann; eine Desktop Firewall kann eine sinnvolle Ergänzung dazu, aber kein Ersatz sein, ebenso weitere Schutzprogramme wie Spam-Filter oder spezielle Browser-Erweiterungen
-
seien Sie wachsam und misstrauisch, wenn Ihnen von Unbekannten Programme oder auch Dokumente angeboten werden
-
laden Sie Software nur von vertrauenswürdigen Quellen herunter.
Wie finden und entfernen Sie Bots?
Ist das Kind erst mal in den Brunnen gefallen und der Rechner verseucht, gilt es die Schädlinge aufzuspüren und sie zu eliminieren - möglichst rückstandsfrei. So manches Antivirusprogramm tut sich schwer damit, besonders wenn Rootkits im Spiel sind. Zuweilen bleiben Rest zurück, etwa verwaiste Registry-Einträge oder gar weiterhin aktive Malware-Komponenten. Dies kann zu einem instabilen System oder gar zu einer erneuten Infektion führen.
Die sauberste Lösung besteht deshalb darin wichtige Daten auf ein externes Speichermedium zu sichern und das System dann neu zu installieren. Besser dran ist, wer regelmäßig Partitionsabbilder der Systemfestplatte gesichert hat. Von diesen Backups kann ein vor der Infektion gesicherter, sauberer Zustand wieder hergestellt werden.
Foto: Panda Security
Ist eine Neuinstallation kein gangbarer Weg oder gilt es zunächst eine vermutete Infektion festzustellen, können boot-fähige Antivirus-CDs ein wertvolles Werkzeug darstellen. Mehrere Antivirushersteller bieten solche CDs kostenlos als ISO-Abbilder an, so zum Beispiel Avira, F-Secure oder Panda Security. Die können Sie mit einem geeigneten CD-Brennprogramm auf einen Rohling schreiben. Mit Tools wie UNetbootin können Sie aus einem solchen ISO-Image und einem USB-Stick auch ein flottes Boot-Medium erstellen.
Starten Sie Ihren Rechner von der erstellten CD oder dem USB-Stick. Klappt das nicht, müssen Sie im Rechner-BIOS die Boot-Reihenfolge anpassen. Die Antivirus-CD lädt meist ein Linux-System, das mit Hilfe eines Virenscanners die Windows-Festplatte auf Infektionen überprüft. In diesem Zustand sind die Tarnkappen installierter Rootkit wirkungslos, da nicht aktiv.
Hat der Virenscanner Schädlinge aufgespürt und unschädlich gemacht, können Sie wieder von der Festplatte booten. Unter Windows sollten Sie mit Ihrem installierten Antivirusprogramm nach dem Aktualisieren einen kompletten System-Scan ausführen, um nunmehr enttarnte Schädlinge sowie deren Spuren auch aus der Registry zu entfernen.
Es kann durchaus sinnvoll sein mehrere Antivirus-CDs verschiedener Hersteller nacheinander einzusetzen, wenn Sie halbwegs sicher sein wollen, dass Ihr Rechner sauber ist.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation PC-Welt. (ph)