Einmal mehr haben sich die Mühen der US-Kollegen gelohnt: Die Experten in Redmond haben genügend Beweise gesammelt, um einen Richter davon zu überzeugen, Microsoft die rechtlichen Grundlagen zum Abschalten von 500 verschiedene Malware-Varianten des Botnets Nitol zu verschaffen. Alle Details inklusive eines Videos gibt es im Blog der Kollegen.

Zu Anfang stand eine Studie. In ihrem Rahmen fanden wir heraus, dass sich Kriminelle in verschiedene Lieferketten zwischen Hersteller und Kunden gesetzt hatten. Genauer gesagt gab es Händler, die ihren Kunden Computer mit gefälschten und/oder Malware-verseuchten Programmen verkauften. Dabei dachten sich viele Händler wahrscheinlich nichts Böses, die Kriminellen könnten sie mit besonders günstigen Angeboten gelockt haben - und die Händler infizieren so unwissend ihre Kunden, denen sie einen besonders guten Preis machen wollten.

Die Malware für das Nitol-Botnet beschränkte sich dabei allerdings nicht nur auf die vorinfizierten Rechner, im Gegenteil. Die bösartigen Programme setzten auf USB-Speichergeräte um weitere Rechner zu infizieren. Die Schadprogramme selbst haben es ebenfalls in sich: Sie können nicht nur Eingaben auf dem Rechner, etwa Zugangsdaten und Passwörter, aufzeichnen, sondern verwandeln den infizierten PC in einen Spam-Versender oder einen Endpunkt für eine Denial-of-Service-Attacke.

Microsoft konnte dieses Botnet größtenteils übernehmen, indem wir das Urteil nutzen, um die Domain des Botnets durch eine eigens dafür angelegtes DNS (Domain Name System)-Infrastruktur zu leiten. Damit blocken wir nicht nur den Zugriff für Nitol, sondern zusätzlich über 70000 weitere bösartige Subdomains. Sollten Sie den Verdacht haben, dass Ihr PC von Nitol (oder einem anderen Botnet) infiziert wurde, empfehlen wir Ihnen einen Blick auf unser Virus and Security Solution Center

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.