Computersicherheitsexperten untersuchen das bislang größte Bot-Netz. Die Wurzeln des kriminellen Netzes mit dem Namen Metulji reichen nach Osteuropa. Von dort werden Millionen Zombie-Computer benutzt, um Spam-Mails auszusenden oder andere Systeme anzugreifen.

Die genaue Zahl der Computer, die für das Netz rekrutiert wurden, ist noch unklar. Mariposa, ein heute abgeschaltetes Bot-Netz umfasste 2009 12 Millionen Zombie-PCs in 100 Ländern. Das neue Bot-Netz wurde mit der selben „Butterfly Bot“ Software erstellt und hat sehr ähnliche Eigenschaften, um unsichtbar zu bleiben. Diese Software gibt es in einer Basisversion am Schwarzmarkt für € 350,- zu kaufen, die Ultimate-Version kostet € 1100,-.

Dieses Netz wird seit 2007 gebildet. Neue Rechner werden über mobile Speichergeräte infiziert, jedoch muss es auch noch andere Verbreitungsmethoden geben, um diese Menge an Computern zu übernehmen. Die Software ist in mehreren Verzeichnissen im Betriebssystem versteckt. Das Schadprogramm ist polymorph, d. h. es schreibt und ändert seinen Code zur Laufzeit selbst. Damit ist es schwieriger, diese Malware mit Virenscannern zu entdecken. Letztes Jahr wurden zwei Millionen infizierte PCs gezählt, gut ein halbes Jahr später waren es schon 25 Millionen.

In Slowenien, Bosnien und Herzegowina gab es bisher zwei Verhaftungen. Mit Hilfe von Interpol wurden zwei vermutliche Mitglieder der Bot-Netzgruppe in Gewahrsam genommen. Sie fielen auf, weil sie ein luxuriöses Apartment und mehrere teure Autos gekauft hatten. Auch wenn das Kontrollcenter („command and control“) des Bot-Netzes ausgehoben wird, auf vielen Computern bleibt die Software aktiv und kann z. B. von anderen Kriminellen wieder aktiviert werden.

Das kriminelle Botnet Coreflood wurde im April und Mai diesen Jahres von Behörden abgeschaltet, es hatte 2,3 Millionen Windows PCs. Coreflood wurde von einer russischen Gruppe aufgebaut.

Artikel von csmonitor.com, 29.06.2011: Biggest-ever criminal botnet links computers in more than 172 countries