Botnetze
Der Ausdruck "Bot" ist eine Abkürzung des Worts "Robot" (= selbsttätig). Unter einem "Bot" im Zusammenhang mit Computern versteht man ein verstecktes Programm, i.d.R ein Virus o.ä., mit dessen Hilfe ein PC von außen ferngesteuert werden kann, ohne dass der Besitzer des Rechners davon etwas merkt (s.a. Backdoor-Programm).
Inhaltsverzeichnis
Was ist ein Bot-Netz ?
Ein "Bot-Netz" ist ein Verbund von mehreren mit Bot-Programmen verseuchten Rechnern, die gemeinsam zentral von außen gesteuert werden können. Bot-Netze werden überwiegend von kriminellen Gruppen oder Organisationen für betrügerische Massenoperationen (z.B. DoS -Angriffe oder Versand von Spam-Mail) missbraucht. Das größte bisher entdeckte Bot-Netz (Mariposa) soll mehr als 12 Mio. Rechner umfasst haben. Solche ferngesteuerten Netze werden sogar an andere Interessenten weitervermietet.
Bot-Programme versuchen sich auf dem Host-Rechner unauffällig zu verhalten und führen auch, im Gegensatz zu manchen anderen Schadprogrammen, keine destruktiven Aktivitäten auf dem Rechner aus, um möglichst lange unentdeckt aktiv bleiben zu können. Jedoch können diese Backdoor-Programme evtl. auch zum Ausspionieren von Bank- und anderen Zugangsdaten verwendet werden. Oft merken die Betreiber der Rechner nichts davon, dass ihr System kompromittiert ist.
Zum Schutz gegen diese Schadprogramme sollte immer ein möglichst gutes aktuelles Antiviren-Programm aktiv sein. Beim Verdacht auf eine Infizierung muss der Rechner mit einem oder besser mehreren Antivirenscannern von einer Boot-CD (oder - Stick) überprüft werden. (z.B. Avira AntiVir Rescue System , http://www.free-av.de) Da Bot-Programme zum Verstecken manchmal auch die Rootkit-Technik verwenden, kann es nicht schaden zusätzlich ein Anti-Rootkit-Tool einzusetzen. (z.B. Anti-Rootkit von www.sophos.de/products/free-tools)
Wie kommen diese - und andere - Schadprogramme auf den PC ?
Während die Verwendung von infizierten E-Mail Anhängen durch Bekanntwerden bei den Anwendern zurückgegangen ist, wird inzwischen ein Großteil aller Attacken über Browser-Exploits durchgeführt, wobei es vielen Benutzern nicht klar ist, dass es bereits durch das Anklicken eines bösartigen Web-Links zu einer Infektion des Rechners kommen kann, wenn keine ausreichenden Schutzmaßnahmen getroffen wurden.
Wenn das Schadprogramm sich auf dem Computer einnisten konnte, nimmt es über das Netz Kontakt zu seinem Control-Server auf, um ihm mitzuteilen, dass der Rechner kompromittiert ist. Möglicherweise wird dann unbemerkt weitere Schadsoftware heruntergeladen.
Wie entdeckt man Bots, bzw. auch andere Malware ?
Es gibt verschiedene Hinweise, die auf eine Infizierung mit Schadcode hindeuten können:
• Ungewöhnliche und unbekannte Prozessnamen
• Langsame Internet-Verbindung (z.B. wenn der Computer Spam versendet oder an einer DoS-Attacke teilnimmt)
• Der Rechner reagiert nicht oder arbeitet merklich langsamer
• Der Rechner "stürzt" öfter ohne ersichtlichen Grund ab, oder startet automatisch neu und funktioniert danach nicht mehr richtig
• Ungewöhnliches Verhalten des Internetbrowser (z.B. Ändern der Homepage, Erscheinen neuer Fenster)
• Anti-Virus Software läuft nicht oder nicht richtig
• Ungewöhnliche Programmnamen in der Ausnahmeliste der Firewall
• Änderungen an der HOST-Datei
• Ungewöhnliche Dateien im Autostart
• Unbekannte Add-Ins im InternetBrowser (Browser Helper Objects, BHO)
• Ungewöhnliche Windows Dienste
• Unbekannte Netzwerkverbindungen
• Ungewöhnliche Fehlfunktionen (z.B. kein Druck, kein Zugriff auf Laufwerke, verstümmelte Menüs)
Ein verdächtiger Rechner sollte mit Antivirenscannern von einer Boot-CD überprüft werden.
Wie entfernt man entdeckte Bot-Programme ?
Wie auch für andere Schadprogramme gilt generell, dass ein einmal kompromittierter Computer, auch nach der vermeintlicher Entfernung der Malware, nie wieder völlig vertrauenswürdig ist. Eine saubere Lösung kann hier nur eine Neuinstallation des Betriebssystems sein.
Wie schützt man sich gegen Bot-Programme ?
Hierfür gelten die allgemeinen Grundregeln für PC-Sicherheit:
1. Sicherheitsupdates für das Betriebssystem regelmäßig, am besten automatisch, installieren
2. Updates für kritische Anwendungsprogramme installieren
3. Ein gutes Antivirenprogramm verwenden und regelmäßig Updates einspielen
4. Eine Firewall verwenden
5. Keine E-Mail-Anhänge aus unbekannten oder unvermuteten Quellen öffnen
6. Keine Dateien von nicht vertrauenswürdigen Quellen herunterladen
7. „Think - Before you click“
Klassifizierung der Schadprogramme (Malware)
Virus - Programme die sich selber kopieren und andere Dateien auf einem Computer infizieren können
Worm - Schadprogramme, die sich selbst vervielfältigen und weiterverbreiten
Trojaner - Bösartige Programme die sich in einer anderen Anwendung verstecken
Bot - Versteckte Programme mit deren Hilfe ein PC von außen ferngesteuert werden kann
Rootkit - Programme die Dateien auf einem Rechner so verstecken, dass das Betriebssystem diese nicht mehr entdecken kann
Spyware - Versteckte Programme die Daten oder Verhaltensweisen des Benutzers ausspionieren und weitermelden
Backdoor - Programme die es einem Außenstehenden ermöglichen unbemerkt Zugriff auf den Rechner zu erlangen
Adware - Programme die unbemerkt zusammen mit anderen, meist kostenlosen, Programmen installiert werden, um Werbung einzublenden oder den Rechner auszuspionieren
Scareware - Programme die vorgeblich Schutz gegen Schädlinge versprechen, aber nur eingeschränkte oder überhaupt keine Sicherheit bieten, sondern Falschmeldungen produzieren und den Benutzer dazu verlocken betrügerische Transaktionen durchzuführen
Ransomware - Programme die private Daten auf einem fremden Computer verschlüsseln können, um für die Entschlüsselung ein „Lösegeld“ zu fordern
Exploits - Schadprogramme die Sicherheitslücken und Fehlfunktionen von Hilfs- oder Anwendungsprogrammen ausnützen
Quellen
ENISA - European Network and information Security Agency http://www.enisa.europa.eu
Computermagazin COM! 06/2010
Computermagazin CHIP 08/2010
Microsoft Security http://www.microsoft.com/security/antivirus/indicators.aspx
Defence Intelligence http://www.defintel.com
BSI - Bundesamt für Sicherheit in der Informationstechnik
--Hawei 21:11, 6. Aug. 2010 (UTC)