Waledac-Botnet ist grösser als erwartet

Waledac gilt als Nachfolger des so genannten Sturm-Wurms. Es gibt eine Reihe von Übereinstimmungen und Ähnlichkeiten zwischen beiden Schädlingen und ihren Botnets. Forscher der Universitäten in Mannheim und Wien haben das Waledac-Botnet untersucht und dabei entdeckt, dass die Betreiber mehr vorhaben als Spam zu versenden.

Die Forscher um Thorsten Holz haben eine abgespeckte Waledac-Bot-Version («Walowdac») programmiert, die zwar mit dem Botnet kommuniziert, sich jedoch an keinerlei schädlichen Aktivitäten beteiligt. Wie Holz im Honeyblog berichtet, haben die Security-Experten dabei etwa festgestellt, dass dieses Botnet grösser zu sein scheint, als sie erwartet hatten. Im Schnitt seien täglich etwa 55'000 Bots aktiv und insgesamt könnte das Botnet etwa 390'000 gekaperte Rechner weltweit umfassen.

Das Botnet funktioniert mit einer teilweise dezentralisierten P2P-Kommunikationsstruktur, die aus wenigstens vier Ebenen besteht. Es gibt mutmasslich ein Mutterschiff, das jedoch nicht zu lokalisieren war. Die Backend-Server der zweiten Ebene fungieren als Proxy und sind perfekt synchronisiert, was die Annahme eines Mutterschiffs unterstützt.

Die dritte Ebene bilden so genannte Repeater, die als Vermittler zwischen Backend-Servern und der vierten Ebene fungieren. Letztere besteht aus den Spammern, also Spam-versendenden Bots, sowie dem nicht infizierten Rest der Onlinewelt.

Bei der Untersuchung des Botnet im August 2009 haben die Forscher zudem entdeckt, dass Waledac nicht nur Spam verbreitet, sondern neuerdings auch Anmeldedaten auf den verseuchten Rechnern ausspioniert. Die komplette Analyse findet sich als PDF-Dokument in englischer Sprache auf der Honeyblog-Website.