Tag Bot.Torpig_Mebroot.C&C

Kurzinfo

Rechner, die sich bei den Command&Control-Servern des Torpig-Botnets bzw. Mebroot-Rootkits anmelden.

Treffsicherheit

(Siehe Entfernung)

Beschreibung

Das Torpig-Botnet, das zumeist gemeinsam mit dem Mebroot-Rootkit auftritt, ist auf Bank- und Kreditkartenbetrug spezialisiert, wobei die Schadsoftware den Web-Browser manipuliert. Das Torpig-Botnet wurde 2009 in einer spektakulären Aktion zerschlagen.

Mittlerweile dürfte Torpig wieder zu neuem Leben erwacht sein und in neuen Versionen im Umlauf sein, aktuelle Analysen sind aber kaum zu finden.

Einzelne Security-Teams betreiben vorgebliche Command&Control-Server für Torpig/Mebroot. Die unter dem Tag Bot.Torpig_Mebroot.C&C gemeldeten IP-Adressen haben auf diese Server zugegriffen.

Entfernung

Häufig konnten selbst geübte EDV-Profis keinerlei Schadsoftware auf Rechnern finden, die als Torpig-Zombies gemeldet wurden. Dabei wurden regelmäßig aktuelle Boot-CDs (sowohl freie wie Desinfec't als auch kommerzielle) eingesetzt, um die Rootkitfunktion auszuschalten.

Das gäbe Anlaß, an der Richtigkeit der Alarme zu zweifeln. Allerdings hat sich in einigen Fällen gezeigt, daß auch bei dynamisch vergebenen Adressen konsistent dieselben Rechner als infiziert gemeldet werden und daß nach Neuformatieren und Neuinstallieren die Meldungen aufgehört haben. Das legt wieder den Schluß nahe, daß Mebroot mehreren Varianten auftritt, die teilweise von Viren- und Rootkitscannern nicht erkannt werden.

Erfahrungen

(bisher keine Erfahrungsberichte verfügbar)