FBI legt internationales Banking-Botnet lahm

(nachbearbeitet) Das US-amerikanische Federal Bureau of Investigation (FBI) hat zusammen mit britischen Behörden ein vom Banking-Trojaner Dridex (auch Cridex oder Bugat genannt) aufgebautes Botnet nach eigenen Angaben zerstört. Mehrere Command-and-Control-Server (C&C), von denen aus das Netz mit verseuchten PCs gesteuert wurde, seien aufgespürt und deaktiviert worden.

Der nach Ansicht des FBI wichtigste Kopf hinter Dridex, der Moldawier Andrey Ghinkul, wurde bereits im August auf Zypern verhaftet. Amerikanische Behörden wollen nun seine Auslieferung in die USA erreichen.

Dridex hat nach Ansicht vieler Experten das Erbe des berüchtigten Banking-Trojaners Zeus angetreten und ist zu einem der am weitesten verbreiteten Schädlinge aufgestiegen, der vor allem versucht, in die Bankkonten seiner Opfer einzudringen und dort Geld zu klauen. Dridex soll auf Rechnern in 27 Ländern gefunden worden seien. Nach Informationen von Symantec war auch die Schweiz betroffen.

Das Botnet sei in mehrere Unternetze aufgeteilt gewesen, die von unterschiedlichen Personen geleitet wurden. Dem FBI soll es gelungen sein, den Datenverkehr zwischen den verseuchten PCs und den C&C-Servern umzuleiten, sodass die Kriminellen keinen Kontakt mehr zu den Trojanern haben. Das bedeutet aber auch, dass sich die Schädlinge weiterhin auf den infizierten PCs befinden.

Das US-CERT (United States Computer Emergency Readiness Team) hat eine englischsprachige Kurzanleitung veröffentlicht, wie Dridex entfernt werden kann. Die Virenscanner von F-Secure, McAfee, Microsoft, Sophos und Trend Micro werden dort als Beispiele für Sicherheitslösungen genannt, die den Banking-Trojaner löschen können. In der Regel wird dies aber mittlerweile auch auf die meisten anderen verbreiteten Antivirenprogramme zutreffen, da kaum ein Hersteller nicht bereits Signaturen gegen Dridex erstellt und verteilt haben dürfte. 

Der Schädling wurde nach Angaben des FBI vor allen über Spam-Mails verbreitet, die ein manipuliertes Word-Dokument enthalten. Öffnet ein Anwender diese Datei, dann werde zunächst ein Downloader heruntergeladen, der dann erst den eigentlichen Schädling lädt und installiert. Ob der Spuk mit der Festnahme von Ghinkul wirklich bereits vorbei ist, ist aber noch unsicher.