Dr Web: Flashback-Botnetz schrumpft nicht

Der russische Virenscanner-Hersteller Dr. Web dementiert die Berichte von mehreren Sicherheits-Firmen, wonach das Flashback-Botnet am Schrumpfen sei. Dr. Web veröffentlichte als erste Firma vor drei Wochen Warnungen vor der massiven Verseuchung mit Flashback-Trojanern unter Mac-OS X. Neuen Auswertungen nach ist die Zahl der infizierten Rechnern mit zirka 650.000 Computern konstant geblieben und nicht etwa rückläufig. Liam O’Murchu, ein Direktor bei Symantec, hat am letzten Freitag diese Zahl bestätigt.

Die Nachricht von Dr. Web, dass die Infektion sich weiter verbreitet, steht im krassen Gegensatz zu den Versicherungen der anderen Antiviren-Firmen. Kaspersky Lab und Symantec sicherten ganze Domainen mit infizierten Maschinen, bevor Hacker weiteren Missbrauch einleiten konnten. Nach Symantecs Auswertung war das Botnet Anfang letzter Woche um 60 Prozent auf 142.000 infizierte Macs geschrumpft und Kaspersky schätzte letzten Donnerstag die Zahl sogar auf lediglich 30.000 verbleibende Computer.

Dr. Web berichtete am Freitag in einem Blog, dass diese Schätzungen mit der Realität nicht mithalten können. Am 16. April waren 595.000 Macs im Botnet registriert und am folgenden Tag immer noch mehr als 582.000. In einem Interview am Freitag gab O’Murchu zu, dass Dr. Webs Zahlen korrekt sind. Kaspersky Lab meldete, dass weitere Untersuchungen eingeleitet wurden.

Die Fehler beim Zählen liegen laut Dr. Web im Einsatz der Malware, wie der Standort der Botnet-Kontrol-Server ermittelt und wie mit diesen Domains Kontakt aufgebaut wird. Der Gegenangriff Anfang April hat nur die erste Instanz von Kontroll-Servern ausgehebelt, aber die Malware kontaktiert weitere Server, nachdem Dr. Web die erste Domain sicherte. Die Komplexität der Malware ist immer noch nicht ganz aufgeklärt. Dr. Web vermutet, dass die Malware TCP-Verbindungen zu den weiteren Servern aufrechterhalten, aber vorerst in einen Ruhezustand gehen und weitere Anweisungen abwarten, aber nicht mehr mit den von Sicherheitsexperten wie Symantec kontrollierten Domain-Servern kommunizieren. Der Rückgang der aktiven Kontakte wird fälschlicherweise als Schrumpfen des Botnets ausgelegt.

Apple und eine Reihe von Antivirussoftware-Firmen haben verschiedene Updates im Kampf gegen Flashback ausgeliefert. Apple bot am 3. April das erste Java-Update und legte am 12. April ein Dienstprogramm zur Entdeckung und Löschung des Trojaners bei. Laut den Zahlen von Dr. Web führte nichts davon zu einem Verkleinern des Botnetz.

Die erste Attacke von Flashback gelang durch eine Sicherheitslücke in Java, die Oracle noch im Februar stopfte. Apple hingegen nutzt eine eigene Version von Java für Mac-OS X und behob diese Sicherheitslücke erst sieben Wochen später. In der Zwischenzeit entdeckten dann die Sicherheitsexperten bei Intego eine Flashback-Variante, die Ende März diese noch offene Verwundbarkeit angriff.