Meldungstyp: Bot

Als Botnet wird eine Menge von kompromittierten Systemen (sogenannte Bots) bezeichnet, die sich vollständig unter der Kontrolle eines Angreifers befindet. Dies sind oft normale Arbeitsplatzrechner, in die über eine beliebige Schwachstelle eingebrochen wurde. Nach dem Einbruch wurde vom Angreifer eine Bot-Software installiert, die versteckt auf dem System läuft und eine Verbindung zu einem zentralen Botnet Control Server hält.

Wenn Sie eine Meldung bzgl. eines Bots bekommen, dann steht Ihr System wahrscheinlich unter der Kontrolle eines Angreifers und ist Teil eines Botnet. Booten Sie von einem sauberen Medium (z.B. CD) und untersuchen Sie dann das System.

Dieses ist evtl. am Versand von unerwünschter Werbemail beteiligt (SPAM) oder es werden Portscans oder gar Angriffe gegen weitere Systeme durchgeführt. Die Bots suchen auf dem kompromittierten System häufig auch nach Lizenzschlüsseln von Software (Spiele, Windows, Office), Passwörtern (für Homebanking, eBay, PayPal, etc.), betreiben Sniffer, Keylogger uvm. 

Beispiel für eine typische Meldung:

 

System:       192.168.77.13
Meldungstyp:  Bot
Zeitstempel:  2009-07-16 14:30:10 GMT+0200 (Sommerzeit)
Beschreibung: Auf dem System scheint eine Bot-Software betrieben zu
              werden, die versucht, einen HTTP- oder IRC-basierten Bot-Netz
              Control-Server zu erreichen.

  TCP Quellport  Malwaretyp Zeitstempel (GMT+00)
  ----------------------------------------------------------
4318 Conficker 2009-07-16 12:02:18
unbekannt Conficker 2009-07-16 23:29:24
26904 Mebroot 2009-07-16 10:57:03
2124 Grum 2009-07-16 21:24:10
36576 unbekannt 2009-07-16 13:54:02

 

In der Meldung werden der Quellport, der Zeitpunkt der Verbindung und grundsätzlich auch der Malwaretyp angegeben.

Malwaretypen

Die folgenden Malwaretypen werden derzeit unterschieden:

     aktualisiert am: 07.09.2015 |