Hunderttausende private und geschäftliche Computersysteme sind durch Avalanche kompromittiert. Doch nun konnten verschiedene offizielle Stellen wie das BSI oder US-CERT die Zerschlagung der Botnetz-Infrastruktur vermelden. Avalanche ist eines der größten weltweit bekannten Botnet-Strukturen, der 20 verschiedene Botnetze angehören. Alle haben zur Verbreitung von Malware wie Ransomware durch Phishing-E-Mails oder Spam beigetragen.

Koordinierte Anstrengungen von internationalen Strafverfolgungsbehörden der ganzen Welt zwangen die Botnet-Infrastruktur nun in die Knie. Jetzt müssen die schädlichen Überbleibsel von Avalanche beseitigt werden. ESET wurde gebeten, den Usern bei dieser Anstrengung beizustehen. Selbst diejenigen können von der ESET-Erkennung profitieren, die keine ESET-Produkte besitzen.

ESET hilft, und stellt den kostenlosen ESET Online Scanner bereit. Das Tool ist in der Lage, Malware-Familien zu erkennen und zu säubern, die durch das Fast-Flux-Network verteilt wurden.

ESET ist stets bemüht, die Strafverfolgungsbehörden in ihrer Arbeit zu unterstützen. Das unterstreicht auch die Ziele des IT-Security Unternehmens: Das Internet ein bisschen sicherer zu machen. Die Aushebung des Netzwerks geschah auf effektive Weise. Die Anstrengungen liefen auf die Reduktion der Rentabilität der Botnetz-Infrastruktur hinaus. Indem sich die Handlungen der Cyber-Kriminellen nicht mehr lohnen, schaffen Behörden und IT-Security Unternehmen dauerhafte positive Veränderungen für die Sicherheit im Internet.

Natürlich erfordert so eine weltweite koordinierte Operation viel Zeit und Mühe. Aber die Ergebnisse sind es wert, wie auch die Aktionen gegen Dorkbot und Mumblehard zeigen.

Was ist ein Fast-Flux-Network?

Hinter Fast-Flux-Netzwerken verbirgt sich die Verschleierung des Standorts von Botnetz-Webservern. Mit Hilfe einer DNS-Technik, bei der mit einem DNS-Server und der Lastverteilung per DNS (Round-Robin DNS) gearbeitet wird, können Phishing- und DoS-Attacken gestartet werden. Auch Avalanche nutzte ein solches Fast-Flux-Network.

Um das Konzept zu veranschaulichen, verwendeten wir Win32/Wauchos (aka Andromeda). Einige der C&C-Server der Malware befanden sich in der Avalanche-Botnet-Infrastruktur. Wenn ein IT-Security Unternehmen wie ESET die Infrastruktur von Angreifern abbilden möchte, um es zu zerschlagen, würde die Tatsache der Verschleierung durch verschiedene Proxies die ganze Angelegenheit sehr schwierig gestalten. Den wahren C&C-Server dann herauszufinden, ist eine wahre Herausforderung.

Wer nutzt dieses Netzwerk?

Die Aktionen der vergangenen Wochen zielten auf verschiedene Botnetze ab, die das Avalanche-Netzwerk genutzt hatten. Hier sind einige Malware-Familien, die als aktive oder ehemalige Nutzer der Botnet-Infrastruktur bekannt sind:

  • TeslaCrypt
  • Nymaim
  • CoreBot
  • GetTiny
  • Matsnu
  • Rovnix
  • URLZone
  • QakBot (aka Qbot, PinkSlip Bot)

Es gibt viele verschiedene Arten von Malware, die mit diesem Dienst einhergehen. Die meisten sind Login-Räuber, Ransomware oder Banking Trojaner. Die Vielfalt der oben genannten Malware-Familien ist ein deutlicher Indikator dafür, dass das Fast-Flux-Network als Dienstleistung an andere Cyber-Kriminelle verkauft wurde.

Wie kann ich meinen Computer säubern?

Wer befürchtet, dass der eigene Computer teil eines Fast-Flux-Networks geworden ist, kann sich den ESET Online Scanner kostenfrei herunterladen. Anschließend wird die .exe-Datei ausgeführt und der Computer-Scan kann gestartet werden. Alles was den PC beeinträchtigen könnte, wird entfernt. Die folgenden Screenshots verdeutlichen die Vorgehensweise:

#1 Download und Start von ESET Online Scanner

ESET Online Scanner Ausführen

#2 Nutzungsbedingungen akzeptieren

ESET Online Scanner Nutzungsbedingungen

#3 Auf Scannen klicken und abwarten

ESET Online Scanner Einstellungen für Computer-Scan

Weitere Informationen zur Verwendung des ESET Online Scanners finden sich hier.