FBot: Botnetz entfernt Krypto-Miner-Infektionen

  • Allgemein

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • FBot: Botnetz entfernt Krypto-Miner-Infektionen

    Ein kurioses Botnetz entfernt einen bösartigen Krypto-Miner von Rechnern, die es befällt. Und löscht sich dann selbst.

    FBot ist kein Botnetz wie viele andere: Hat der Trojaner einen Windows-Rechner infiziert, sucht es den Krypto-Miner com.ufo.miner und entfernt diesen vom befallenen System. Der Krypto-Miner schürft mittels eines Coinhive-Skriptes im Hintergrund heimlich die Kryptowährung Monero. Nachdem FBot den Übeltäter unschädlich gemacht hat, löscht der Trojaner sich selbst.
    Momentan ist nicht klar, ob es sich hier um einen Racheakt gegen die Drahtzieher hinter com.ufo.miner oder um einen Programmierfehler im FBot-Code handelt. Oder ob ein Grey-Hat-Hacker zu viele Batman-Filme gesehen sah und sich entschied, das Problem selbst anzupacken. Interessant ist, dass der Trojaner mit seinem Command-and-Control-Server nicht über konventionelle DNS-Server kommuniziert, sondern ein Blockchain-basiertes DNS-Protokoll namens EmerDNS nutzt – dieses wird vom Blockchain-Diensteanbieter Emercoin betrieben.

    Auch gut gemeinte Infektionen sind illegal
    Ansonsten hat FBot viele Merkmale mit dem Satori-Botnetz gemein. Entdeckt wurde der Trojaner von der chinesischen Sicherheitsfirma 360 Netlab. In einem Blog-Artikel fassen die Forscher ihre Erkenntnisse zu dem Trojaner zusammen. Obwohl FBot aktuell Dinge tut, die für die Besitzer der befallenen Rechner positiv sind, sollte man trotzdem im Hinterkopf behalten, dass auch das gut gemeinte kurzzeitige Infizieren fremder Rechner in den meisten Länder gegen geltendes Recht verstößt.
    In der Vergangenheit hatten Sicherheits-Experten und die Vertreter von Anti-Viren-Herstellern immer wieder zur Diskussion gestellt, dass solche quasi-gutartigen Angriffe viele Infektionen beenden oder wenigstens eindämmen könnten. Bisher scheint der Konsens in der Security-Gemeinde allerdings zu sein, dass solche Eingriffe in die Hoheit eines Anwenders über sein System zu weit gehen.

    Quelle: https://www.heise.de/security/meldung/FBot-Botnetz-entfernt-Krypto-Miner-Infektionen-4168434.html