Schlag gegen Computer-Kriminelle: Ende einer Spam-Schleuder

Eine der übelsten Spam-Schleudern ist außer Gefecht: Experten der "Abteilung für digitale Verbrechen" bei Microsoft haben per Gerichtsbeschluss die Abschaltung von Internet-Adressen erreicht, die zur Steuerung eines als "Waledac" bekannten Netzes infizierter Computer diente.

Die Benutzer der Rechner hatten sich aus E-Mails unter anderem mit Betreffzeilen wie "Merry Xmas!" oder im Internet einen so genannten Trojaner auf ihren Computer geholt. Dieser Virus, als W32/Waledac und W32/IRCbot-ZG bekannt, verwandelte ihre Rechner in "Zombies", wie Experten es nennen: fernsteuerbare Rechner. Zu einem "Botnetz" zusammengeschlossen, verschickten sie Werbe-Mails ("Spam"). Damit verdienen die Betreiber solcher Botnetze viel Geld. Das "Waledac-Botnetz" soll eines der zehn größten der Welt sein und verschickte laut Microsoft mehr als 1,5 Milliarden Spam-E-Mails pro Tag.

Gesteuert werden solche Netze über C&C-Sever ("Command and Control"). Die Spamjäger von Microsoft sammelten Internet-Adressen, über die diese Zentralrechner mit den "Zombies" kommunizierten. Gegen 27 Betreiber von 273 solcher Adressen reichten sie vor einem US-Gericht Klage ein. Als Rechtsgrundlage dafür diente unter anderem der Schaden, der dem Microsoft-Maildienst Freemail durch das Spam-Aufkommen entsteht.

Das Gericht verpflichtete das US-Unternehmen VeriSign, das die Internet-Adressen mit der Endung ".com" verwaltet, die Adressen stillzulegen. Verisign nahm sie aus dem "Domain Name System", einer Art Datenfahprlan für das Internet - ein Rechner, der dort nicht verzeichnet ist, ist nicht mehr erreichbar. Zugleich kümmerte sich die Shadowserver Foundation, ein Zusammenschluss von IT-Sicherheitsexperten, darum, dass Internet-Provider die so vom Netz abgeschnittenen Server auch abschalten.

4 der 8 Kontrollserver waren bei deutschen Providern

Vier der acht Kontroll-Server des Waledac-Netzes waren bei deutschen Internetprovidern untergebracht. Nach FR-Informationen gehörte der Frankfurter Hoster Netdirekt dazu, der früher den Ruf hatte, anfällig für Missbrauch zu sein. Den Informationen zufolge hat Netdirekt aber jetzt die Server sehr schnell abgeschaltet.

Wer hinter Waledac steckt, wissen die Spam-Jäger nicht genau. Ein Forscher der Uni Mannheim, die wie weitere Institute technische Hilfestellung für Microsofts "Operation b49" leistete, sagte der FR, die Spur führe nach Osteuropa. Zeitweise seien zahlreiche Server in Russland am Netz beteiligt gewesen. Nach FR-Informationen war auch das Bundeskriminalamt in "Operation b49" eingeschaltet.

Gebannt ist die Gefahr noch lange nicht: Die Waledac-Trojaner bei unbedarften Benutzern warten nur darauf, dass neue Server auf neuen Wegen mit ihnen Kontakt aufnehmen. Dabei kann jede gängige Anti-Virus-Software die Schädlinge finden und beseitigen.

Tipps zur Beseitigung bei Symantec