Setzt auf altes Protokoll Internet-Relay-Chat:
Oldie, but Goldie: Soviel verdient Botnet-Veteran »SDBOT«

von Werner Veith (werner.veith@networkcomputing.de)

Share
16.12.2009

Gegenüber jüngere Malware ist der Botnet-Veteran »SDBOT« immer noch gut im Geschäft. Seit 2004 treiben verschiedene Varianten unauffällig ihr Unwesen. Bis zu 150 Dollar fließt in die Kasse durch »Pay per Install« auf einen infizierten Rechner.

Das Alter muss nicht unbedingt ein Nachteil sein. Das zeigt sich auch in der Malware-Szene. So gibt es zwischen Newcomern bei den Schädlichen auch den Oldie »SDBOT«. Dieser treibt erfolgreich, und vor allem unauffällig, seit 2004 sein Unwesen: Ein schon recht hohes Alter. Aber dieser Goldie unter Botnet-Schädlingen bringt seinen Urhebern nach wie vor gutes Geld. Diese vermieten Sdbot-Netze an andere Kriminelle. Die wiederum nutzen das Netz, um auf den befallenen Rechnern eigene Software zu installieren. Nach dem Pay-per-Install-Modell zahlen sie dabei für jede erfolgreiche Installation. Trend Micro [1] hat sich in dem White-Paper »SDBOT IRC Botnet Continues to Make Waves [2]« mit dem Schädling befasst.

Kontaktaufnahme von »SDBOT« mit einem IRC-Server (Internet-Relay-Chat) für weitere Befehle nach erfolgreicher Installation. (Quelle: Trend Micro)

Dieses Geschäft ist relativ lukrativ. Pro erfolgreicher Installation erhalten die Botnet-Eigentümer zwischen 25 und 150 Dollar. Der Preis hängt von der Länder-Domain ab. So gibt es bei den Domains »gb« (Großbritannien), »de« (Deutschland) und »ca« (Kanada) 150 Dollar. Für Rechner aus »us« (USA) gibt es nur 120 Dollar. Rechner aus Brasilien mit »br« kosten nur noch 60 Dollar pro Installation.

Die Installation des Codes »BKR_SDBOT.COD« übernimmt ein Trojaner »TROJ_DROPPR-BH«. Dabei kommt die Malware als Datei »photo.com«. Dahinter verbirgt sich eine selbstextrahierende Datei. Durch die Umbennung in »photo.exe« lässt sich die enthaltene Datei »burim.exe« herausholen.

Eine Kopie des BKR_SDBOT.COD landet im Ordner »C:Windows« als »fxstaller.exe«. Zusätzlich wird ein Registry-Eintrag erzeugt, damit der Schädling automatisch beim Systemstart ausgeführt wird.

Für die Kommunikation mit dem Command-and-Control-Server (CCS) setzt Sdbot auf IRC (Internet-Relay-Chat) als Protokoll. Steht die Verbindung mit dem CCS kann der Internet-Kriminelle über IRC-Befehle seine Malware auf den befallenen Rechner herunterladen.

Ist Microsofts MSN-Messenger installiert, kann der Bot-Master per IRC an alle Messenger-Kontakte auf dem Zombie-Rechner eine Message mit infiziertem Link schicken. Bot-Master ist der derjenige, der aktuell die Kontrolle über das Botnet hat.

Der Einsatz von ICR als Kommunikationsprotokoll hat noch einen anderen Vorteil. Es ist für die Kontrolle von Botnets aus der Mode gekommen und Malware-Forscher konzentrieren sich auf andere Arten von Botnets.

Die Trend-Micro-Forscher vermuten, dass der Ursprung der Bedrohung aus Albanien, Mazedonien oder Montenegro stammt. Dies herauszufinden, ist nicht mehr so einfach, denn die Cyber-Gangster nutzen frei verfügbare Dienste wie von Yahoo oder Altavista. Außerdem wechseln sie die IP-Adressen.

[1] http://de.trendmicro.com/de/home/
[2] http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/sdbot_irc_botnet_continues_to_make_waves_pub.pdf

Verwandte Artikel