Vorgestern gab Microsoft im US-Blog bekannt, dass die Digital Crime Unit des Unternehmens nach Rustock und Waledac nun ein drittes Botnet lahmgelegt hat. In Zusammenarbeit mit Partnern wie Kyrus Tech Inc. konnte in einer unter dem Codenamen "Operation b79" laufenden Aktion das Botnet Kelihos am 26. September vom Netz genommen werden. Kehlios ist wegen seiner vermuteten Verbindungen zum bereits stillgelegten Waledac-Botnet auch unter dem Namen Waledac 2.0 bekannt.

Parallel dazu wurde am gleichen Tag um 8:15 Uhr morgens hiesiger Zeit der vermutete Kelihos-Steuermann, ein in Tschechien ansässiger Mann namens Dominique Alexander Piatti, persönlich von dem Vorgang informiert. Damit konnte erstmals eine Person namentlich mit einer ein Botnet betreffenden Klage in Verbindung gebracht werden.

Die am 22. September am U.S. District Court for the Eastern District of Virginia eingereichte Klageschrift, auf deren Grundlage der Takedown des Botnets erfolgte, beschuldigt Piatti als cz.cc-Domaininhaber. Das von Piatti in Tschechien registrierte Unternehmen Dotfree Group S.R.O. sowie bis zu 22 Unbekannte sollen mittels Malware die Rechner von Opfern infiziert, das Botnet erzeugt, auf den betr Domains gehostet und schließlich genutzt zu haben.

Mit Kelihos soll Spam verbreitet, Daten und Informationen wie Logindaten gestohlen, Betrugsmaschen (beispielsweise Aktien und Pharmazie) ermöglicht und teilweise sogar Kinderpornografie beworben worden sein. Auf Piattis Subdomains soll übrigens auch die MacDefender-Scareware gehostet worden sein, mit der Macs infiziert wurden. Andere Subdomains sollen wiederum legalen Zwecken gedient haben.

Obwohl Kelihos – gerade im Vergleich zum Rustock-Botnet – als relativ kleines Botnet angesehen wurde, bestand es laut Richard Boscovich, Anwalt in Microsofts Digital Crime Unit, dennoch aus rund 41.000 Computern und war fähig, bis zu 3,8 Milliarden Spam-Mails pro Tag zu verschicken.

Um betroffenen Anwendern beim Entfernen der Kelihos-Malware zu helfen, hat Microsofts Malware Protection Center die Win/32-Kelihos-Familie in den zweiten Release des Malicious Software Removal Tool integriert. Eine Sammlung kostenloser Tools und Informationen rund um Botnets bietet Microsoft ebenfalls an.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.