Kampf gegen Schadprogramme:Microsoft legt Zombie-Netz lahm
Mit deutscher Hilfe hat der US-Konzern Microsoft ein kriminelles Computernetzwerk abgeschaltet. Experten zweifeln jedoch an der Effektivität der Maßnahme.
Johannes Kuhn
Ist es ein Durchbruch im Kampf gegen Schadprogramme oder nur ein vergeblicher wie PR-trächtiger Versuch, die Flut an Spam-Nachrichten einzudämmen? Mit einer ungewöhnlichen Strategie hat Microsoft nach eigenen Angaben ein Botnet abgeschaltet, das Schätzungen zufolge etwa 1,5 Milliarden unerwünschter Spam-Mails pro Tag versendet.
Hunderttausende Computer waren meist ohne das Wissen ihrer Besitzer Teile des Waledac-Botnets. Über E-Mail-Anhänge und präparierte Webseiten hatten sich Internetnutzer Schadsoftware eingefangen, die es Hackern erlaubte, die Kapazitäten der Computer zu nutzen, um beispielsweise Spam-Nachrichten zu versenden.
Auch Kunden von Microsofts E-Mail-Dienst Hotmail sind von solchen Angriffen häufig betroffen; allein zwischen 3. und 21. Dezember 2009 schickte Waledac nach Unternehmensangaben etwa 651 Millionen unerwünschter E-Mails. Um gegen Waledac vorzugehen, wählte Microsoft nicht nur technische Methoden, sondern auch den juristischen Weg.
Verbindung der Zombies gekappt
So präsentierte das Unternehmen einem Bundesgericht im US-Staat Virginia die Ergebnisse monatelanger Ermittlungen: Demnach nutzten die Waledac-Hintermänner 277 Domains mit der Endung .com, um das Zombie-Netz zu verwalten. Am vergangenen Montag erwirkte Microsoft in einer nicht-öffentlichen Sitzung eine einstweilige Verfügung, durch die der US-Domainverwalter VeriSign verpflichtet wurde, die Adressen zu löschen.
Die Folge: Die infizierten Rechner konnten ohne die Adressen keine Verbindung zu der Kommandozentrale des Botnets herstellen. Im gleichen Zug löschten IT-Experten der Sicherheitvereinigung Shadowserver diese Kommandozentralen, von denen einige nach Angaben von Beteiligten in Deutschland standen. Mit Hilfe von Mitarbeitern der Universitäten Mannheim und Wien wurde auch die Kommunikation zwischen den infizierten Rechnern gestört.
Microsoft, das im Unternehmensblog den Erfolg stolz vermeldet, sieht die Aktion als Anfang einer neuen Anti-Spam-Kampagne: "Wir möchten proaktiver gegen Botnets vorgehen, um zu helfen, das Internet zu schützen", wird Richard Boscovich, Leiter der Abteilung für Internetkriminalität, von der BBC zitiert. "Wir haben einen großen, großen Sieg errungen."
Nur ein Prozent des Spam-Verkehrs
Einige Experten bezweifeln jedoch, dass Microsoft damit erfolgreich sein wird. "Das Botnetz wird in vielen Fällen überleben", sagte Jose Nazario von der IT-Sicherheitsfirma Arbor Netzworks dem Wall Street Journal. Die nun vom Netz genommenen Adressen beträfen wahrscheinlich einen kleinen Prozentsatz der Rechner, die vom Waledac-Netzwerk kontrolliert werden.
Richard Cox vom Antispam-Dienst Spamhaus sagte computerworld.com, er habe bislang keine Verringerung des Spam-Verkehrs festgestellt. Waledac sei allerdings auch nur für weniger als ein Prozent aller Spam-Nachrichten verantwortlich.
Microsoft, das wegen Sicherheitslücken in seinen Betriebssystemen und dem Internet Explorer immer wieder von IT-Experten kritisiert wird, hofft nun gemeinsam mit den Beteiligten, dass Waledac Geschichte ist. "Wir hoffen, dass die Operation komplett erfolgreich war und die Kommunikation effizient gestört wurde", sagt Thorsten Holz von der TU Wien. Um das Projekt zu beenden, sollen in einem nächsten Schritt die mit der Waledac-Schadsoftware infizierten Rechner gereinigt werden.