Schadsoftware benutzt infizierte PCs für eine versteckte Weiterleitung
Eine neue Malware baut ein gesteuertes Netzwerk (Botnet) für die Weiterleitung von illegalem Verkehr auf. Symantec hat den Schädling Backdoor.Proxybox vor drei Monaten ausführlich analysiert. Die Software ist schon seit 2010 bekannt, jedoch wurden zunehmend Aktivitäten beobachtet. Die Analyse durch Malwareexperten und Sicherheitsforscher hat ergeben, dass die verdeckte Weiterleitung des Internetverkehrs im großen Stil kommerziell angeboten wurde. Normalerweise werden Botnets für Angriffe auf andere Systeme oder für die Aussendung von Spam verwendet. Die Malware ist ein Trojanisches Pferd und weist Rootkitfunktionalität auf. Mit dem kommerziellen Netz können illegaler Verkehr und Inhalte transportiert werden. Die Verbindungen sind nur sehr schwer zu der Person zurück zu verfolgen. Die Cyberkriminellen verstecken sich hinter der öffentlichen IP-Adressen des Computerinhabers.
Die Zahlungskonten für den Dienst liegen in Russland und wurden zu einer ukrainischen Person zurückverfolgt. Für 25 US-Dollar werden 150 Proxy-Server angeboten und für 40 US-Dollar kann auf eine unbeschränkte Zahl von Proxys zugegriffen werden.
Die illegalen Anbieter: „We expect over 2,000 bots online all the time“. Symantech schätzt, dass insgesamt 40.000 Rechner mit der Malware verseucht sind.
Der Schädling wird durch Drive-by-Downloads weiterverbreitet, also durch den Besuch von Webseiten, hauptsächlich auf Seiten des kommerziellen Rootkitanbieters Blackhole.
Wenn solch eine Schadsoftware auf dem eigenen Computer installiert ist, kann die eigene IP auf vielen Sperrlisten auftauchen und damit Probleme mit Internetdiensten hervorrufen.
Artikel von computerworld.com, 09.10.2012: Malware-infected computers rented as proxy servers on the black market