Seit Microsoft im Dezember letzten Jahres aktiv gegen das ZeroAccess-Botnetz vorgegangen ist, haben die SophosLabs genau verfolgt, wie die kriminellen Eigentümer reagieren und ob sie versuchen werden, das System wieder ans Laufen zu bekommen. Nachdem Microsoft nun verkündete, dass die ZeroAccess-Macher ihre Machenschaften aufgegeben haben, haben wir mal einen Blick auf die nackten Zahlen geworfen, um diese Aussage näher zu untersuchen.
Der Schlag Anfang Dezember konzentrierte sich vor allem auf das Ausschalten der Server, die von verschiedenen Plugins genutzt wurden, die ZeroAccess von seinem P2P-Netzwerk herunterlud. Da die Server-Adressen ebenso aufgedeckt wurden, wäre der offensichtlichste Weg, das Botnetz zu reaktivieren, neue Serveradressen im Netzwerk einzurichten. Das wusste natürlich auch Microsoft und beobachtete das Botnetz genau, um neue Plugins zu entdecken. Sobald neue Serveradressen auftauchten, wurden diese ebenfalls deaktiviert. Dieses strikte Vorgehen führte dazu, dass die ZeroAccess-Autoren scheinbar die Segel streichen, denn im letzten Plugin, dass im Netzwerk installiert wurde, war nur noch die Textnachricht „White Flag“ zu lesen.
Und tatsächlich konnten auch die SophosLabs eine entscheidende Veränderung feststellen: Während die Schlagkraft von ZeroAccess immer darauf beruhte, dass riesige Mengen neuer Dropper (Programme die Malware auf infizierten Rechner installieren) jeden Tag ins Internet geschoben wurden, ging deren Zahl in den letzten Wochen extrem zurück. Das spiegelt sich auch in der Anzahl der Angriffe auf PCs unserer Kunden zurück – zudem waren bereinigte Systeme nicht mehr von neuen Infektionen betroffen.
Es lässt sich also ohne Zweifel sagen, dass ZeroAccess seinen bislang größten Schlag erhalten hat, und die Betreiber zumindest vorläufig aufgegeben haben, das System wieder profitabel zu machen. Die Kriminellen haben zwar immer noch die Möglichkeit, neue Dateien in das Netzwerk einzuspielen, aber ohne neue Dropper verkleinert sich das Botnetz extrem schnell und ist nicht mehr attraktiv. Wie geht es weiter? Falls die Schöpfer von ZeroAccess nicht geschnappt werden, ist es gut möglich, dass über kurz oder lang eine neue Version des Botnetzes auftaucht. Wahrscheinlich ist dann, dass die Malware über ein neues P2P-Protokoll verfügt und vielleicht sogar eine neue Plugin-Architektur, die weniger von festen Serveradressen abhängig ist.
Antwort hinterlassen