Dridex-Botnet

Mysteriös: Zombie-PCs verteilen jetzt Virenscanner

Normalerweise nutzen Cyberkriminelle Netzwerke gekaperter PCs und Server, sogenannte Botnets, um DDoS-Angriffe auf Websites zu verüben oder Viren zu verteilen. Ermittler verfolgen die Betreiber solcher Netzwerke und schalten immer wieder Botnets ab. Jetzt ist ein besiegt geglaubtes Botnet zurückgekehrt. Doch es verteilt mysteriöserweise keine Viren mehr, sondern Virenscanner.

Dass ein Botnet plötzlich Sicherheits-Software verteilt, wie es der IT-Branchendienst "Golem" berichtet, mutet mehr als seltsam an. Bei Dridex, einem vom FBI im vergangenen Oktober zumindest vorübergehend abgeschalteten Botnet, ist aber genau das der Fall. Statt Viren verteilt es Virenscanner des deutschen Herstellers Avira.

Der hat das eigentümliche Phänomen bereits bestätigt und festgestellt, dass es sich tatsächlich um legitime Versionen des Virenscanners handelt. Die digitale Signatur stimmt. Die Theorie, dass es sich um manipulierte Software handelt, kann damit verworfen werden. Aber warum verteilt das Botnet Virenscanner?

Hat ein hackender Rächer die Kontrolle?
Avira vermutet, dass ein für das Gute kämpfender Hacker das Botnet unter seine Kontrolle gebracht hat. "Es gibt die Möglichkeit, dass ein White-Hat-Hacker infizierte Web-Server übernommen hat und dabei die gleichen Schwachstellen wie die ursprünglichen Malware-Autoren nutzte - und dann die bösartige Software mit dem Avira-Installer ausgetauscht hat", so Avira.

Stimmt diese Theorie, wäre das Dridex-Botnet wohl eines der ersten Netzwerke seiner Art, das nach der Abschaltung durch das FBI zu neuem Leben erwacht - und für das Gute kämpft. Zuvor war Dridex vor allem für das Verteilen von Banking-Trojanern berüchtigt, der von dem Netzwerk verursachte finanzielle Schaden wird auf einen zweitstelligen Millionenbetrag geschätzt.