Botnets – die finstere Seite des Internets

Wenn Ihr PC ein gewisses Eigenleben entwickelt und die Internetverbindung ohne erkennbaren Grund öfters ausgelastet ist, dann haben Sie sich mit hoher Wahrscheinlichkeit einen Trojaner eingefangen. Findige Malwareprogrammierer kontrollieren nicht selten hunderte bis tausende Rechner durch ihre Schädlinge. Man spricht dann von Botnets; in diesem Artikel erklären wir ausführlich, was genau das nun ist, welche Risiken bestehen und wie man sich davor schützen kann.

Der aus der griechischen Geschichte respektive Mythologie stammende Begriff „Trojaner“ kennzeichnet im übertragenen Sinne auch in der PC Welt denselben Vorgang, wie das große hölzerne Pferd „damals“ in Troja. Nur dass diesmal nicht Soldaten hinter unüberwindbare Stadtmauern gelangen wollen, sondern Malware sich im Betriebssystem Ihres Computers einnisten möchte. In Troja konnten die Einwohner nicht der Verführung widerstehen und zogen das hölzerne Pferd in die Stadt. Auch das Softwarependant gibt einen anderen Zweck vor, um Sie zu der Ausführung eines Programms zu bewegen. Oftmals stellen dabei pornografische Inhalte, illegal kopierte Software oder dubiose Email Anhänge das Objekt der Verführung dar. Doch hinter vermeintlichen Nacktbildern eines weiblichen Popstars verbirgt sich nicht selten ein Trojaner, der – einmal ausgeführt – Kontrolle über Ihren Computer erlangt.

Grundsätzlich kann man zwei Arten von Trojanern unterscheiden. Während vor allem früher einzelne Computer befallen wurden, so geht der Trend heute dank steigender und immer schneller werdender Internetanbindungen vor allem zu solchen Trojanern, die nicht nur einige wenige, sondern gleich hunderte bis tausende Computer befallen möchten und unterstützt durch die Naivität und mangelnde Vorsicht vieler Anwender dieses Ziel auch allzu oft erreichen. Bekannte Vertreter dieser Art sind z.B. Phatbot, Agobot, SDBot oder RxBot, von welchen es unzählige Abwandlungen gibt. Dem aufmerksamen Leser mag die Endung „-bot“ nun auffallen, besonders in Kombination mit der Überschrift dieses Artikels. Der Begriff „Bot“ beschreibt einen mit einem Trojaner infizierten Computer, der damit quasi willenlos Befehle von einer anderen Person als dem eigentlichen Besitzer entgegen nimmt.

Passende Opfer finden sich wie bereits erwähnt leider viel zu leicht und so bleibt es nicht bei einem infizierten System, sondern es entsteht regelrecht ein Netz. Diese werden im Fachjargon „Botnet“ genannt, was übersetzt „Botnetz“ bedeutet. Botnetze sind virtuelle Zusammenschlüsse von befallenen Systemen, welche sich je nach Art bei einem Server anmelden, um Befehle entgegenzunehmen. Als Medium wird meist der IRC verwendet. IRC bezeichnet ein Chatprotokoll, den so genannten Internet Relay Chat. IRC an sich ist harmlos und ein reines Echtzeit-Kommunikationsmittel, welches zu seinem Leidwesen durch die Botnetze einen inzwischen teilweise angeschlagenen Ruf besitzt. Die Kommunikation in einem IRC passiert ähnlich wie beim Funk über Kanäle, die Channels.

Vor oder auch nach der Anmeldung bei seinem einprogrammierten Server werden oftmals zusätzliche Komponenten aus dem Internet nachgeladen. Dazu zählen Mechanismen, um sich zu tarnen, Malwarescanner auszuschalten oder andere virenähnliche Module. Grundsätzlich befolgen die Bots dann ab sofort die Befehle des Botnetzbesitzers – meist zunächst die Suche nach neuen Opfern.

Übrigens verbreiten sich Bots nicht unbedingt nur durch das unachtsame Verhalten von PC Besitzern, sondern mitunter auch selbst. Dies passiert z.B. durch das Ausnutzen von Schwachstellen im Betriebssystem oder anderen Softwareanwendungen, was mittlerweile übrigens kein reines Windows Problem mehr ist. Während der Schwerpunkt nach wie vor klar bei Windows-basierten Systemen liegt, so steigt auch z.B. für Linux-Hosts die Wahrscheinlichkeit, Teil eines Botnetzes zu werden. Insbesondere als IRC-Server, und somit als Kernstück eines jeden Botnetzes, fungieren zumeist kompromittierte Linux-Server, auf denen ein IRC-Server aufgesetzt wird.

Das Gefahrenpotential

Die allgemeine Haltung gegenüber Malware ist leider jene, dass es die meisten Benutzer in den seltensten Fällen interessiert, ob der heimische PC mit Malware befallen ist oder nicht – solange der Computer das zu tun scheint, was er soll. Was dabei so gut wie nie bedacht wird ist, dass andere Benutzer somit geschädigt werden können und man selber unter Umständen sogar unbewusst zum Mittäter wird. Früher wurde Malware so gut wie immer programmiert, weil der Autor seine Fähigkeiten zeigen wollte. Denn paradoxerweise ist besonders bösartige und effektive Malware in der Regel außerordentlich gut und effizient programmiert – schließlich soll sie nicht auffallen und schon gar nicht Opfer einer Sicherheitssoftware werden.

Doch dank des enormen Wachstums des Internet haben Malwareprogrammierer schon lange neue Einkommenswege entdeckt. Damit ist oftmals nicht nur alleine die Verbreitung des Schädlings bereits illegal, sondern es steckt weitaus mehr kriminelle Energie dahinter, die den Machern im Hintergrund letzten Endes Geld bringen soll. Die Möglichkeiten dabei sind durchaus besorgniserregend und in Verbindung mit dem mangelnden Schutz und der mangelnden Vorsicht vieler Anwender sogar sehr bedrohlich. Denn der „Betreiber“ eines Botnets hat beispielsweise folgende Möglichkeiten:

  • Jedes infizierte System kann als Proxy Server für kriminelle Aktivitäten verwendet werden, um diese zu verschleiern. Ein Hacker startet seine Attacke dann nicht von seinem eigenen PC aus, sondern über fremde Computer unter seiner Kontrolle.
  • Über befallene PCs können verbotene Daten wie Kinderpornografie, Warez oder illegale Downloads (Filme, Musik, …) ohne das Wissen des Besitzers verbreitet werden. Der Besitzer ist jedoch dafür verantwortlich.
  • Bots sind meist mit Keyloggern ausgestattet, welche persönliche Daten wie Kreditkartennummern und Passwörter aufzeichnen und an die Botnet Betreiber senden.
  • Jedes infizierte System kann weitere Systeme infizieren.
  • Botnetze werden nicht selten dazu genutzt, um bestimmte Webseitenbetreiber oder auch ganze Provider zu erpressen. Denn wenn mehrere hundert bis tausend Computer mit der vollen Geschwindigkeit ihrer Internetanbindung auf eine Webseite oder einen Provider zugreifen, so bedeutet dies einen Ausfall der Webseite oder des Providers. Ausfälle bedeuten dann meist den Verlust von Umsatz bis hin zum völligen Stillstand der betroffenen Firma. Meist bleibt dem Betreiber dann keine andere Wahl, als die vom Erpresser geforderte Summe zu zahlen. Denn gegen die Attacke kann er sich nicht wehren und den Angreifer ausfindig zu machen ist so gut wie immer unmöglich.
  • Last but not least werden Botnetze sehr oft zum Versand von Spam genutzt. In den Email Programmen der infizierten Rechner finden sich etliche Email Adressen, die dann zum einen mit neuen Schädlingen, zum anderen aber auch mit unerwünschten Werbeangeboten bombardiert werden. Im ersten Fall gewinnt der Botnetbetreiber neue Bots hinzu, im zweiten bares Geld durch den Auftraggeber – nicht selten geht es dabei um potenzsteigernde Mittel oder gefälschte Markenartikel wie Uhren.

Sie als Leser denken nun hoffentlich nicht „betrifft mich eh nicht“. Die meisten PC Besitzer merken nicht, dass ihr Computer infiziert ist. Logisch – man soll es ja auch nicht bemerken. Glaubt man einem Bericht der BBC, so sind von den ca. 600 Millionen Internet-PCs weltweit ganze 100 bis 150 Millionen mit Bots infiziert – also ungefähr jeder vierte. Es sei noch mal ausdrücklich erwähnt, dass die oben erwähnten Möglichkeiten alle hochgradig illegal sind und der Besitzer des infizierten Systems die volle Verantwortung dafür trägt. Wie sagt man so schön – „Unwissenheit schützt vor Strafe nicht“.

Wie schütze ich mich am besten?

Um Ihren Rechner und Ihre Daten zu schützen gibt es ein paar simple Grundregeln und Möglichkeiten. Beachten Sie diese, so senken Sie dadurch die Wahrscheinlichkeit, selbst infiziert zu werden.

  • Regelmäßige Updates

    Hersteller von Routern, Betriebssystemen oder Programmen sind auch nur Menschen und machen Fehler. Diese Fehler werden dann oft von Malware ausgenutzt. Updates beheben bekannte Fehler und sollten daher baldmöglichst nach ihrem Erscheinen eingespielt werden.

  • Hardware Firewall oder Router verwenden

    Die Angriffe kommen aus dem Internet. Router schützen vor vielen Angriffen aus dem Internet, da sie diese abblocken. Hardware Firewalls sind gegen Angriffe weitaus resistenter als Software-Firewalls.

  • Surfen mit Verstand

    Nicht jede Webseite im Internet meint es gut mit Ihnen! Seiten, welche Zugang zu illegalen Inhalten oder Pornografie anbieten, sind besonders bedenklich.

  • Mailanhänge prüfen

    Vertrauen Sie nicht jedem Absender, vor allem dann nicht, wenn Sie ihn nicht kennen. Besonders vermeintliche Mails von bekannten Firmen wie z.B. Ebay, der Deutschen Bank oder auch dem einen oder anderen TV Sender sind fast immer gefälscht, wenn sie Anhänge beinhalten, die der Nutzer öffnen soll.

  • Passender Softwareschutz

    Ein gutes Programm gegen Malware sollte heutzutage zur Standardausrüstung eines jeden PCs gehören. Wir empfehlen Emsisoft Anti-Malware, da es durch die innovative Verhaltensanalyse auch vor unbekannter Malware, wie neuen Bot Varianten, schützt. Damit sind Sie vor vielen Schwachstellen Ihres Computers bereits geschützt, bevor Updates und Patches erscheinen.

  • Wie werde ich den Bot nun wieder los?

    Ist ein PC erst einmal infiziert, so hat der Bot viele Möglichkeiten, sich einzunisten und sich gegen eine Löschung zu wehren. Durch Malware vorgenommene Änderungen lassen sich meist nur schwer auffinden und rückgängig machen. Im schlimmsten Fall empfiehlt es sich daher, in den sauren Apfel zu beißen und den Computer zu formatieren und das Betriebssystem neu zu installieren. Das ist mühsame Arbeit, die man sich in den meisten Fällen durch den richtigen Schutz und besonnenes Verhalten hätte ersparen können.