Citadel Botnet auf Windows Rechnern?

In einer der größten Aktionen gegen Botnet Betreiber, hat die Microsoft Digital Crimes Unit mit Führern der Finanzdienstleistungsbranche, anderen Technologie Partnern aus der Industrie und dem Federal Bureau of Investigation zusammengearbeitet, um eine massive Cyber-Bedrohung aufzudecken, die für den Diebstahl von Online-Banking-Informationen und persönliche Daten verantwortlich war.

Mit von einem zivilen Gericht angeordneten Beschlagnahmungsbefehlen, konnte über Microsoft der gleichzeitige Betrieb von mehr als 1.400 Citadel Botnets lahmgelegt werden, die für mehr als eine halbe Milliarde Dollar an Verlusten von Privatpersonen und Unternehmen weltweit verantwortlich waren. Zu den betroffenen Unternehmen gehören große Namen wie die Bank of America, American Express, die Citigroup, Credit Suisse und auch PayPal – auffallend bereits hier die Dichte der Finanzdienstleister.

Rechner in mehr als 80 Ländern betroffen

In mehr als 80 Ländern wurden Computer-Netze ausgeschaltet. Die genaue Vorgehensweise der Kriminellen wurden durch FBI und Microsoft nicht erläutert. Es könnte sein, dass sich die Täter Zugriff auf Online-Banking-Konten erschlichen, indem sie Passwörter und Zugangsdaten ausspähten. Die Besitzer der von Citadel befallen PC bemerken in der Regel nicht, dass ihr Computer für kriminelle Aktionen missbraucht wird, die Software agiert sehr unauffällig im Hintergrund.

Das gesamte Citadel-Netzwerk soll seine Schadsoftware auf bis zu fünf Millionen Computer weltweit verbreitet haben. Sicher ist man aber auch nach der Aktion noch nicht, da nach wie vor viele Zombie-Rechner aktiv sind und im Auftrag der Botnet-Betreiber Schadsoftware verteilen.

Laut Microsoft haben sich die Kriminellen durch den Vertrieb von raubkopierten und mit Citadel infizierten Windows-Versionen Zugriff auf Rechner in Westeuropa, den USA, Indien und Australien verschafft.

Knapp die Hälfte der jetzt abgeschalteten Botnets wurde in den USA ausfindig gemacht. Gemeinsam mit US Polizeibeamten sicherten Microsoft-Techniker am Mittwoch in zwei Rechenzentren Daten und Beweise.

Ist Citadel für meinen Windows Rechner eine Gefahr?

Die Entwickler von Citadel haben erkannt, dass Daten – insbesondere Zugangsdaten – wertvoller sein können als Geld. Damit grenzt sie sich deutlich von der Malware-Plattform Zeus ab, die lediglich dazu diente Geld zu stehlen – in der Regel kleine Beträge, dafür jedoch von tausenden Opfern.

Citadel-Varianten wurden hingegen ab der zweiten Hälfte des Jahres 2012 verstärkt gegen die IT-Strukturen von Regierungsbehörden und großen Unternehmen eingesetzt.

Konkret hat sich die aktuellste Citadel-Variante bei Angriffen auf große Privatunternehmen hervorgetan. Es wurden allerdings auch Angriffe auf staatliche Stellen gemeldet, insbesondere auf die Daten-Repositories von Städten, Gemeinden und örtlichen Behörden. Diese Variante, in JavaScript geschrieben ist, dient eindeutig dem Finanzbetrug und richtet sich speziell gegen Angestellte staatlicher Behörden.

Wie erkenne ich, dass mein Computer von einem Bot befallen ist?

Kriminelle, die Bots verbreiten, wollen unentdeckt bleiben. Dies gilt auch für die Bots, die weltweit auf Millionen von Computern aktiv sind und im aktuellen Fall Citadel. Ist der eigene Computer Teil eines Botnetzes, kann er unbemerkt auf ferngesteuerte Befehle von Cyberkriminellen reagieren. Dies beinhaltet Datendiebstahl, Spam versenden oder andere Computer infizieren, sobald man online ist.

Erste Anzeichen für einen Befall sind eine verschlechterte Internetgeschwindigkeit, unerwünschtes Aufrufen von Seiten und Werbung. In manchen Fällen ist das Öffnen neuer Seiten mit den gängigen Browsern (Internet Explorer, Firefox, Opera) nicht mehr möglich. Infizierte Computer müssen aber nicht zwangsläufig diese Symptome zeigen. Anwender merken oftmals überhaupt nicht oder sehr spät, dass ihr Computer Teil eines Botnetzes geworden ist.

Die Sicherheit Ihres Computers mit 5 Grundregeln gewährleisten

1. Überprüfen Sie Ihren Computer auf Befall. Benutzen Sie hierzu den DE-Cleaner. Löschen Sie gefundene Schädlinge.
2. Installieren Sie aktuelle Service Packs und Sicherheitsupdates für Ihr System und aktivieren Sie automatische Updates.
3. Überprüfen Sie die von Ihnen eingesetzten Internetbrowser und die darin eingebundenen Plugins (wie z.B. Java, Flash, Shockwave, Quicktime) regelmäßig auf ihre Aktualität.
4. Installieren Sie einen Virenscanner, z.B. einen der hier genannten und aktualisieren Sie ihn regelmäßig.
5. Benutzen Sie eine Firewall wie z.B. die windowseigene Firewall oder einen Router.

Wie finde und entferne ich Bots aud meinem Windows Rechner?

Was also tun wenn der Computer befallen ist? Als erstes gilt es natürlich die Schädlinge aufzuspüren und sie zu eliminieren – möglichst rückstandsfrei. Da ist nicht jedes Antivirusprogramm geeignet, manche tun sich schwer damit, besonders wenn Rootkits im Spiel sind. Häufig bleiben auch nach dem Entfernen etwas zurück, wie etwa ein Registry-Eintrag oder im schlimmsten Fall sogar weiterhin aktive Malware-Komponenten. Dies kann zu einem instabilen System oder gar zu einer erneuten Infektion führen.

Die wie so oft besteht die beste und sauberste Lösung darin alle wichtigen Daten auf ein externes Speichermedium zu sichern und das System neu aufzusetzen.

Ist eine Neuinstallation keine Option oder gilt es zunächst die Vermutung nach einem Befall zu bestätigen, können bootfähige Antivirus-CDs ein wertvolles Werkzeug darstellen.

Bootfähige Antivirus-CD

Bootfähige Antivirus-CDs helfen, wenn der Rechner zwar noch startet, sich aber ein bereits eingenisteter Virus erfolgreich vor dem installierten Virenscanner versteckt. Die Übeltäter schleichen sich als Rootkit unerkannt ins Betriebssystem und sind damit für den Virenscanner unsichtbar. Antiviren-Boot-CDs starten den Rechner unabhängig vom installierten Windows und sind somit in der Lage die versteckten Viren zu finden und unschädlich zu machen.

Einige große Antivirus-Hersteller, wie etwa Avira, F-Secure oder Panda Security, bieten mittlerweile ISO-Abbilder von Boot-CDs kostenlos zum Download an. Diese enthalten einen aktuellen bzw. aktualisierbaren Virenscanner, mit dem ein Windows-Rechner von Malware befreit werden kann.

Die Rettungs-CDs basieren meist auf einem Linux-Live-System. Das Starten (“Booten”) des Rechners von einer CD oder DVD oder auch USB-Sticks mit einem von der Festplatte unabhängigen installierten System hat mehrere Vorteile:
• Eine Reparatur des installierten Systems ist möglich falls der Virus den Start verhindert
• aktive Malware, die nicht im laufenden Windows System zu entfernen ist, kann so meist deinstalliert werden
• Malware, wie die beschriebenen Rootkits, sind bei laufendem Windows kaum oder gar nicht auffindbar. Durch den Start von der Boot-CD werden sie ihrer Tarnkappe beraubt. Der Schädling kann folglich aufgespürt und entfernt oder unschädlich gemacht werden.

Vorgehensweise

Die ISO-Images können mit einem üblichen Brennprogramm auf eine CD-R(W) geschrieben werden. Achtung! Unbedingt die Funktion „ISO-Abbild auf Disc schreiben“ nutzen. Fast alle Brennprogramme können das. Die Datei einfach auf eine Daten-CD zu schreiben bringt nicht das gewünschte Ergebnis.

Starten Sie Ihren Rechner von der erstellten CD oder dem USB-Stick

Also beispielsweise die gerade gebrannte CD einlegen und den Rechner neu starten. Sofern im BIOS eingestellt ist, dass der Rechner nicht nur von der Festplatte, sondern auch von CD startet, wird der PC von der eingelegten CD aus im Rettungsmodus gestartet. Klappt der Start von der CD nicht, muss im BIOS die Bootreihenfolge geändert werden und zwar so, dass zuerst von der CD gestartet wird. Ins BIOS gelangen Sie bei den meisten Rechnern indem Sie beim Start die Taste [F12] oder [Entf] drücken.

Mit den Scan- und Reparaturwerkzeugen der Rettungs-CDs wird dann der Rechner analysiert uns sämtliche Viren und Schädlingen aufgestöbert. Ist dies der Fall müssen Sie die Reparatur starten, die bereits mit in dem IS-Abbild ist. Hat der Virenscanner Schädlinge aufgespürt und unschädlich gemacht, können Sie wieder von der Festplatte booten.

Unter Windows kann man dann mit dem bereits vorher installierten Antivirusprogramm nach dem Aktualisieren einen kompletten System-Scan ausführen, um die jetzt enttarnten Schädlinge und deren Spuren aus der Registry entfernen.

Wer Zeit und Geduld hat, kann auf Nummer sicher gehen und mehrere Antivirus-CDs verschiedener Hersteller nacheinander einsetzen, um absolut sicher zu gehen, dass der Rechner sauber ist.

Weiterführende Literatur:

https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/Schadprogramme/schadprogramme_node.html

https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/BotNetze/botnetze_node.html

http://www.zeit.de/digital/2010-09/botnet-beratungszentrum-bmi-datenschutz

Dieser Eintrag wurde veröffentlicht in Allgemein. Bookmarken: Permanent-Link. Kommentare sind geschlossen, aber Sie können ein Trackback hinterlassen: Trackback-URL.