Fragen und Antworten
Hier finden Sie die häufigsten Fragen und Antworten für den Bereich Botnetze.
Fragen und Antworten zum Botnet Avalanche
-
Nachfolgend werden bekannte Botnetzfamilien (Schadprogramme) dargestellt, die in der Botnetz-Infrastruktur Avalanche aufgefunden wurden. Bitte beachten Sie, dass die Hersteller von Virenschutzprogrammen die Botnetzfamilien nicht einheitlich benennen. Häufig werden bei Funden auch generische Namen wie z.B. "Downloader.XYZ" angezeigt.
-
Bei der analysierten Botnetz-Infrastruktur von Avalanche konnten keine IoT-Botnetze identifiziert werden. Nach aktuellem Kenntnisstand des BSI sind vorrangig Windows-Systeme und Android-Smartphones betroffen.
Allerdings gibt es auch Botnetzfamilien welche sich teilweise oder ausschließlich auf IoT Geräte fokussieren. Daher sollte bei einer Warnung durch Ihren Provider immer auch solche Geräte berücksichtigt werden.
-
Eine Botnetz-Infrastruktur wird von Kriminellen als redundante Infrastruktur zum Betrieb von Botnetzen angeboten. Sie ermöglicht es den Tätern, ihre auf vielen tausend Geräten verteilten Bots (das Botnetz) zu steuern ohne eine Vielzahl von eigenen Servern betreiben zu müssen.
-
Die Botnetz-Infrastruktur wurde zwar abgeschaltet, die Bots selbst bleiben aber bis zu einer Bereinigung durch den Nutzer auf den Geräten. Falls es den Tätern gelingt, eine alternative Botnetz-Infrastruktur aufzubauen, könnten diese Bots erneut ferngesteuertwerden. Daher ist es wichtig, diese Bots zügig von betroffenen Geräten zu entfernen.
-
Die Hersteller von Virenschutzprogrammen benennen Schadsoftware von Botnetzen nicht einheitlich. Eine Zuordnung von Schadsoftware zu Botnetznamen ist zudem sehr aufwändig und nicht immer eindeutig, da manche Schadsoftware als sogenannte Downloader nur zum Nachladen weiterer Schadprogramme genutzt werden. Häufig ist auf infizierten Rechnern zudem Schadsoftware für mehrere Botnetze zu finden. Daher werden bei Funden häufig generische Namen wie z.B. "Downloader.XYZ" angezeigt.
-
Ja. Erhalten Sie eine erneute Meldung durch Ihren Provider, ist Ihr System oder Ihr Smartphone erneut oder immer noch mit Schadsoftware infiziert. Dies kann beispielsweise folgende Gründe haben:
- Ihre Bereinigung war nicht erfolgreich oder nicht vollständig. Es empfiehlt sich, das System neu aufzusetzen. Im Zweifel sollten Sie einen Computer-Spezialisten hinzuziehen.
- Ihr System wurde erneut mit Schadsoftware infiziert. Bitte beachten Sie unsere Tipps zum Schutz Ihres Systems und unsere Hinweise zum sicheren Surfen im Internet und zum Umgang mit E-Mails.
- Ein anderes System an Ihrem Netzwerkanschluss ist immer noch oder erneut mit Schadsoftware infiziert.
-
Nein. Sie erhalten nur dann eine Benachrichtigung, wenn Ihr System mit Schadsoftware infiziert ist die mit dem BSI bekannten Sinkholes kommuniziert. Schadsoftware, die aus anderen Quellen stammt, wird davon nicht erfasst, daher erhalten Sie darüber auch keine Benachrichtigung.
Um generell zu verhindern, dass Schadsoftware auf Ihren Rechner gelangen kann, beachten Sie bitte unsere Hinweise und Empfehlungen.
-
Ein gängiges Verfahren zur Identifikation mit Schadprogrammen infizierter Systeme ist die Umleitung von Steuerungsdomänennamen auf sogenannte "Sinkholes". Dabei werden die durch Analyse von Schadprogrammen ermittelten Domainnamen, mit denen die Schadprogramme kommunizieren, in Zusammenarbeit mit den zuständigen Domain-Registrierungsstellen auf Sinkhole-Server umgeleitet. Die Sinkholes protokollieren anschließend die Zugriffe auf die schädlichen Domainnamen mit Zeitstempel und der Quell-IP-Adresse sowie Quell-Port, von welcher der Zugriff erfolgte. Solche Sinkholes werden von zahlreichen Analysten und IT-Sicherheitsdienstleistern weltweit betrieben.
Da sich unter den Domainnamen keine legitimen Internetangebote befinden, werden diese üblicherweise nicht angesteuert. Ein Zugriff auf einen solchen Domainnamen ist daher ein gutes Indiz, dass sich unter der Quell-IP-Adresse, von welcher ein Zugriff erfolgt, mit hoher Wahrscheinlichkeit ein mit einem entsprechenden Schadprogramm infiziertes System befindet.
Die von den Sinkhole-Betreibern gelieferten Daten enthalten üblicherweise zu jedem protokollierten Zugriff einen Zeitstempel, die Quell-IP-Adresse, den aufgerufenen schädlichen Domainnamen und eine Bezeichnung des damit verbundenen Schadprogramms, welches den Domainnamen für die Kontaktaufnahme zu einem Kontrollserver verwendet. Häufig sind auch die IP-Adressen der Sinkholes sowie die Quell- und Ziel-Portnummern der Verbindung in den Daten enthalten. -
Eine international agierende Tätergruppierung hatte eine Infrastruktur für Botnetze aufgebaut, über die millionenfach private und geschäftliche Computersysteme und Mobilgeräte mit unterschiedlicher Schadsoftware infiziert wurden. Ca. 20 verschiedene Botnetze nutzten diese Infrastruktur, um u.a. Spam- und Phishing-E-Mails zu versenden, Ransomware (Erpressungstrojaner) zu verbreiten und die Nutzer von Online-Banking-Angeboten zu betrügen.
-
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält Informationen zu identifizierten Botnetzinfektionen aus verschiedenen Quellen, die überwiegend aus Sinkholesystemen stammen. Verbindungsversuche infizierte Systeme werden auf diese Sinkhole-Server umgeleitet und aufgezeichnet. Auf diesem Weg erhält das BSI die IP-Adressen dieser infizierten Systeme. Da den Internetserviceprovidern feste Adressbereiche zugeordnet sind, kann das BSI die in ihrem Adressbereich befindlichen IP-Adressen gezielt an die Provider melden. Diese sind dann in der Lage, die betroffenen Kunden zu identifizieren und zu warnen. Dies ist notwendig, da die Identifizierung der Kunden technisch ausschließlich durch die Internetserviceprovider erfolgen kann. Dem BSI liegen keine Kundendaten vor, eine direkte Warnung durch das BSI kann daher nicht erfolgen.
-
Die Benachrichtigung bedeutet, dass zu dem von Ihrem Provider angegebenen Zeitpunkt an Ihrem Netzwerkanschluss ein Gerät Teil der eines Botnetzes war und dies vermutlich immer noch ist.
Das BSI empfiehlt betroffenen Anwendern in diesem Fall, grundsätzlich alle am Netzwerkanschluss genutzten Computer Geräte auf Befall mit Schadsoftware zu überprüfen und Sicherheitslücken zu schließen.Sofern Ihr Provider angegeben hat, um welche Schadsoftware es sich handelt, können Sie hier weitergehende Informationen zu den bisher bekannten Botnetzen und einer empfohlenen Vorgehensweise erhalten.
Nach einer Bereinigung der Rechner und Geräte empfiehlt das BSI alle Passwörter zu ändern, die Sie für Ihren Mail-Account und andere Benutzerkonten bei Online-Shops, Sozialen Netzwerken oder weiteren Internetdiensten nutzen. Wichtig: Überprüfen und bereinigen Sie zuerst Ihre Systeme und ändern Sie danach Ihre Passwörter! Andernfalls kann eine eventuelle Schadsoftware auch die neuen Passwörter mitlesen.
Achten Sie bei der Änderung darauf, dass Sie ein möglichst sicheres Passwort wählen und nicht für jeden Dienst das gleiche Passwort nutzen.Zur Prüfung auf Schadsoftwarebefall gibt es eine Reihe von Virenschutzprogrammen. Weitere Informationen rund um die Bereinigung von infizierten Rechnern finden Sie hier. Sollte Ihr Virenschutzprogramm keine Infektion finden, empfiehlt sich der Einsatz einer Virenschutz-Boot-CD, welche beispielsweise von AV-Herstellern angeboten werden. Bleiben Zweifel, dass die Infektion wirksam beseitigt wurde, sollten Sie das Betriebssystem neu installieren.
Um generell zu verhindern, dass Schadsoftware auf Ihren Rechner gelangen kann, beachten Sie bitte die Hinweise und Empfehlungen des BSI.
-
In dieser Liste sind die Hersteller aufgeführt, deren Produkte nach Herstelleraussage einen großen Teil der Schadsoftware von Avalanche erkennen können. Das BSI hat nicht überprüft, ob und welchem Umfang dies zutreffend ist. Die Liste erhebt keinen Anspruch auf Vollständigkeit.
Durch die ständige Weiterentwicklung der Schadsoftware ist nicht gewährleistet, dass alle Infektionen von den nachfolgenden Herstellern garantiert erkannt werden können.Diese Liste wird erweitert.
Weitere Informationen rund um die Säuberung von infizierten Rechnern finden Sie hier. -
Nein, leider bedeutet es das nicht automatisch.
Falls Sie keine Benachrichtigung durch den Provider erhalten haben, bedeutet dies nur, dass die IP-Adresse Ihres Netzwerkanschlusses bisher in keiner dem BSI bekannten Sinkhole aufgetaucht ist. In den Sinkhole-Daten sieht man nur einen sehr kleinen Ausschnitt der tatsächlichen Infektionen in Deutschland. Viele der im letzten Jahr weit verbreiteten Schadprogramme wie Emotet oder Trickbot kommunizieren IP-basiert mit C2-Servern und nicht über Domainnamen und können daher nicht von BSI erfasst werden.
Das BSI informiert die Provider über die ihnen zugeordneten IP-Adressen infizierter Systeme. Die Zuordnung, welcher Kunde des Providers betroffen ist und die Entscheidung wann dieser informiert wird, erfolgt durch den Internet-Serviceprovider.
Um eine mögliche Infektion zu erkennen, können Sie eine vollständige Untersuchung ihres Systems mit einem Virenschutzprogramm durchführen. Um generell zu verhindern, dass Schadsoftware auf Ihren Rechner gelangen kann, beachten Sie bitte die Empfehlungen des BSI. -
Die Schadprogramme der Avalanche-Botnetz-Infrastruktur wurden typischerweise per E-Mail verbreitet. Diese enthielten oftmals eine persönliche Ansprache (Name und teilweise auch Vorname oder Nickname des E-Mail-Empfängers) und einen infizierten Dateianhang. Im Text dieser Spam-Mails [Information zum Thema: Spam-Mails] wurde dem Empfänger z.B. mitgeteilt, dass durch Vertragsabschlüsse, Mitgliedschaften, Onlinekäufe oder ähnliches Kosten in empfindlicher Höhe entstanden seien. In den unaufgefordert übersandten E-Mails befanden sich in der Regel Anhänge im "ZIP-Format", die eine Rechnung/ Abmahnung für den genannten Kauf, die Mitgliedschaft oder ähnliches enthielten. Im Anhang befand sich dann jedoch meist ein sogenannter Downloader, der Kontakt zu einem Steuerungsserver aufgenommen und von dort Schadsoftware heruntergeladen hat.
Grundsätzlich kann Schadsoftware auch über andere Verbreitungswege auf Ihr System gelangen. -
Die Infektion des Computers oder Smartphones mit Schadsoftware führt oft dazu, dass das System zum Teil eines Botnetzes wird. Mit dem Begriff Bot ist dabei ein Schadprogramm gemeint, welches einem Angreifer die Fernsteuerung des infizierten Gerätes ermöglicht. Von Botnetzen spricht man, wenn sehr viele Geräte (meist mehrere Tausend) per Fernsteuerung zusammengeschlossen werden. Botnetze werden dazu eingesetzt, vertrauliche Daten wie Passwörter, Online-Banking-Daten oder Geschäftsinformationen zu stehlen. Botnetze dienen auch dazu, verteilte Angriffe auf die Verfügbarkeit von Internetsystemen (sogenannte Distributed Denial of Service oder kurz DDoS-Angriffe) durchzuführen. Aufgrund ihrer vielfältigen Einsatzmöglichkeiten und der wirtschaftlich motivierten kriminellen Energie, welche die Täter aufbringen, stellen Botnetze derzeit eine der größten Gefahren im Internet dar. Über gefälschte/ manipulierte Internetseiten oder wie im Fall Avalanche, über Phishing-Angriffe mit gefälschten E-Mails, können Daten in falsche Hände gelangen oder auch Identitäten gestohlen werden.
-
Das ist möglich. Die von den Tätern eingesetzte Schadsoftware eröffnet eine Vielzahl von Möglichkeiten, auf den infizierten PC zuzugreifen. Etwa zur Ausspähung weiterer Daten auf Ihrem Computer oder zur Manipulation von Online-Transaktionen, die Sie bei Online-Shops oder im Rahmen des Online-Bankings durchführen.
Deshalb sollten Sie in regelmäßigen Abständen anhand eines Kontoauszugs etwa in Papierform prüfen, ob Ihnen verdächtige Kontobewegungen auffallen. Beispielsweise ist die in Avalanche eingesetzte Schadsoftware URLzone in der Lage, die Anzeige des Bankkontostandes im Internet-Browser zu manipulieren, so dass eine Prüfung per Internet-Browser kein verlässliches Ergebnis liefert. Wir haben für Sie Informationen zu sicherem Online-Banking zusammengestellt. -
Eine 100%-ige Garantie für eine erfolgreiche Bereinigung durch ein Anti-Virenprogramm ist nicht möglich, da die Angreifer regelmäßig die eingesetzte Software anpassen. Untersuchungen zeigen, dass befallene Systeme häufig mit mehreren Schadprogrammen infiziert sind. Es ist daher wichtig, nach einer Benachrichtigung durch den Provider Ihre Geräteanhand eines geeigneten Virenschutzprogramms sorgfältig auf Befall zu prüfen.
Sollten Sie Zweifel haben, dass die Bereinigung erfolgreich war, empfiehlt es sich sicherheitshalber, nach einem Backup der Daten das System zu löschen und neu aufzusetzen. Beachten Sie bitte dabei, dass Sie aus dem Backup keine ausführbaren Programme wiederherstellen, da diese mit der Schadsoftware befallen sein könnten. Ziehen Sie im Zweifel einen Computer-Spezialisten hinzu.
Um generell zu verhindern, dass Schadsoftware auf Ihren Rechner gelangen kann, beachten Sie bitte die Hinweise und Empfehlungen des BSI.