Extrem lukrativ: Botnets verteilen Adware und Spyware

Betreiber von Botnets verdienen nicht nur mit Spam-Versand Geld, auch die Installation von Adware und Spyware lässt die Kasse klingeln.

Netzwerke fremdgesteuerter Computer (Botnets) sind für ihre Betreiber eine lukrative Geldquelle. Sie vermieten die gekaperten Rechner an Spammer oder installieren darauf Adware, wofür sie Prämien erhalten. Thorsten Holz, Mitbegründer des German Honeynet Project, beschreibt in seinem Blog die jüngsten Beobachtungen bei der Untersuchung von Botnets mittels Honeypots.

Honeypots ("Honigtöpfe") sind Netzwerke aus absichtlich anfälligen Computern, die mit allerlei Überwachungsprogrammen ausgestattet sind. Forscher können damit zum Beispiel Malware einfangen, die Sicherheitslücken ausnutzt oder die Aktivitäten von Botnets beobachten.

Thorsten Holz hat einige Botnets überwacht, die sich einer erst kürzlich bekannt gewordenen Sicherheitslücke im Server-Dienst von Windows bedienen (MS06-040). Die Kontrollstruktur eines dieser Botnets läuft über IRC-Server (Internet Relay Chat) und arbeitet mit vier IRC-Channels (Chat-Räumen), auf die die Bots über einen Hauptkanal verteilt werden.

Der erste Channel dient der weiteren Verbreitung der Bots - sie suchen nach weiteren angreifbaren Computern. Die Bots im zweiten Channel installieren verschiedene Adware auf den kompromittierten Rechnern. Auch der drittel Channel dient der Adware-Installation, in diesem Fall der von "Dollarrevenue". Der vierte schließlich installiert ein weiteres Programm, mutmaßlich Malware, auf das Holz nicht näher eingeht.

Die Installation der Dollarrevenue-Adware im Rahmen so genannter Affiliate-Programme bringt je nach Land, in dem der kompromittierte PC steht, unterschiedliche Prämien. Sie reichen von 1 (China) bis 30 (USA) US-Cent pro Rechner. Die Beobachtungen von Thorsten Holz zeigen, dass in dem untersuchten Botnet innerhalb von 24 Stunden über 7700 Computer mit der Adware von Dollarrevenue verseucht wurden. Das ergibt allein für diese Adware 430 US-Dollar pro Tag. Hinzu kommt mutmaßlich noch ein ähnlicher Betrag für andere Adware.

Da die ganze Aktion nach einem Anstoß praktisch automatisch läuft, erwirtschaftet der Botnet-Betreiber mit sehr wenig Arbeit ein ganz ansehnliches Tageseinkommen. (pcwelt / jdo)