Gemeinsame Aktion mit der rumänischen Polizei - Bitdefender hat ICEPOL Trojaner untersucht

Schwerte (ots) - Die Cybercrime-Ermittler von Bitdefender haben
gemeinsam mit der rumänischen Polizei Festplatten-Images von Servern
analysiert, die den ICEPOL Trojaner verteilten. Die Server wurden in
Bukarest von der Polizei beschlagnahmt und geben interessante
Einblicke in die Abläufe sowie "Erfolge" des Schadprogramms.

Im untersuchten Zeitraum vom 1. Mai bis 26. September 2013 haben
die Server 267.786 erfolgreiche Installationen von ICEPOL geloggt.
Die drei am häufigsten betroffenen Länder waren die USA mit 42.409,
Deutschland mit 31.709 und Italien mit 24.863 Fällen. Alleine in den
USA verzeichneten die Logs einen Gesamtschaden von 32.176,78 so
genannten Geldeinheiten. Die Ermittler vermuten, dass es sich hierbei
um US-Dollar handelt. Der Gesamtschaden beträgt 158.376 Einheiten.

Der rumänische Server ist Teil eines großen Verteilsystems von
Schadprogrammen, das möglicherweise aus Dutzenden ähnlichen Servern
besteht. Diese sind pyramidenartig organisiert, wobei eine Anzahl an
Partner-Servern mit einem C&C-Server verbunden ist, der sich für die
Verteilung der Malware verantwortlich zeichnet. Die Einheit aus
Rumänien kommunizierte ursprünglich mit einem C&C-Server aus den
Niederlanden. Nachdem die Behörden diesen geschlossen hatten, wurde
er nach Deutschland verlegt.

"Die Ergebnisse der Untersuchung von ICEPOL basieren auf der
Zusammenarbeit mit verschiedenen Strafverfolgungsbehörden und
Drittanbietern", sagt der Leiter der Dienststelle gegen
Cyberkriminalität der Rumänischen Nationalpolizei. "Trotz der
komplexen Ermittlungen haben wir bislang sehr gute Resultate erzielt
und wir werden weiterhin Cybercrime bekämpfen, obwohl eine fehlende
Rechtsprechung in anderen Bereichen die Prozesse manchmal
verlangsamt."

Die analysierten Server besaßen zwei Hauptfunktionen:

1. Die Verteilung der Schadsoftware. Diese Ransomware verhinderte
den Zugriff auf den Computer aufgrund angeblicher
"Software-Piraterie" oder "pornografischer Aktivitäten". Um den
Zugriff wieder zu erlangen, musste der Nutzer eine bestimmte
Gebühr an die "Polizei" bezahlen.
2. Eine Pay-per-Klick-Komponente. Diese leitete die Opfer von
Porno-Webseiten auf infizierte Links mit Hilfe eines
Traffic-Austausch-Mechanismus.

"Die kriminelle Unterwelt hat anscheinend Malware-Verteilungsnetze
(MDNs) entwickelt, die sehr ähnlich wie legitime CDNs funktionieren,
sogar bis hinunter zu Überweisungs- und Syndikats-Modellen zur
Geldbeschaffung", erklärt Catalin Cosoi, Chief Security Strategist
bei Bitdefender.

Nachdem die Nutzer unwissentlich den ICEPOL Trojaner
heruntergeladen hatten, erpresste er sie durch eine Botschaft in
einer von 25 Sprachen. Sie stammte angeblich von der Polizei und
beschuldigte die Opfer, urheberrechtlich geschütztes Material oder
illegale Pornografie heruntergeladen zu haben. Anschließend sperrte
er den Desktop und forderte eine Gebühr, um die Blockierung wieder
aufzuheben.

Die Komponente xstats war für die Registrierung der Domains zur
Malware-Verteilung verantwortlich. Sie erzeugte bei Bedarf
Domain-Namen durch die Verknüpfung von vier Wörtern aus einem
Wörterbuch, das 551 Begriffe zum Thema Pornografie enthielt. Die
IP-Adresse des neuen Hosts wurde dann aus einer Liste von 45
einmaligen IP-Adressen ausgewählt.

Die Verteilungsmethode für die Malware lässt ein pyramidenförmiges
Modell vermuten. Denn die analysierte Server-Komponente promox lud
Dateien von einer anderen Domain herunter, aber funktionierte selbst
als Malware-Download-Quelle für Sub-Server.

Das Pay-per-Klick-Modul tds leitete einfach den eingehenden
Datenverkehr auf eine Liste von Domains weiter, vermutlich von
zahlenden Werbekunden oder anderen Trojaner-Verteilerseiten. Der
Traffic wurde gemäß einer von Administratoren konfigurierten Liste
mit Filterregeln behandelt. Diese umfassten zum Beispiel
Herkunftsland, Betriebssystem, Browsertyp oder maximal erlaubte
Anzahl an Klicks. Ein Teil des Datenverkehrs stammte von einigen
pornografischen Webseiten in einem so genannten
Traffic-Austauschmodell.

Über Bitdefender®

Bitdefender ist Hersteller einer der weltweit schnellsten und
effektivsten Produktserien für international zertifizierte
Internet-Sicherheits-Software. Seit dem Jahr 2001 ist das Unternehmen
immer wieder ein innovativer Wegbereiter der Branche, indem es
preisgekrönte Schutzlösungen einführt und weiterentwickelt.
Mittlerweile setzen weltweit rund 400 Millionen Privat- und
Geschäftsanwender auf die Bitdefender-Technologie, um ihre digitale
Welt sicherer zu machen. Bitdefender hat vor kurzem eine Reihe
wichtiger Empfehlungen und Auszeichnungen in der globalen
Sicherheitsindustrie erhalten. Dazu gehören "Produkt des Jahres
2012" von AV-Comparatives, "Beste Reparatur 2012" von AV-Test und
"Editor's Choice" des PC Mag. Diese Auszeichnungen bestätigen den
Spitzenplatz der Software unter den Sicherheitslösungen. Weitere
Informationen zu den Antivirenprodukten von Bitdefender sind im
Bitdefender Security Center der Unternehmenswebseite im Pressecenter
verfügbar.

Weitere Informationen über das Unternehmen und seine Produkte
finden Sie unter www.bitdefender.de.

Über Bitdefender HOTforSecurity®

Zusätzlich veröffentlicht Bitdefender das englischsprachige Blog
"HOTforSecurity", welches rund um die aktuelle Sicherheitslage
weltweit informiert. Es bietet eine prickelnde Mischung aus nebulösen
Computersicherheitsgeschichten und sachlich fundierten Stories, die
die schmutzige Welt der Internetbetrügereien, Spams, Scams, Malware
und des Klatsches sichtbar macht. Bitdefender pflegt auch eine
deutsche HOTforSecurity-Version, die sich insbesondere auf die
Nachrichtenlage im deutschsprachigen Raum (Deutschland, Österreich,
Schweiz) konzentriert. Wollen Sie zu allen aktuellen Bedrohungen
immer auf dem Laufenden sein, dann abonnieren Sie hier unseren
Newsletter.

Pressekontakt:
Bitdefender
DV24, Building A
24 Delea Veche Street, Sector 2
Bukarest, 024102, Rumänien

Ansprechpartner:
Andrei Taflan
PR Coordinator
Tel.: +40 (0) 731 - 496 792
E-Mail: ataflan@bitdefender.com

Deutsche Niederlassung:
Bitdefender GmbH
TechnoPark Schwerte
Lohbachstrasse 12
D - 58239 Schwerte

PR-Agentur:
Fink & Fuchs PR AG
Paul-Heyse-Str. 29
D-80336 München

Ansprechpartner:
Michaela Eichner
Tel.: +49 (0)89 - 589787-14
E-Mail: bitdefender@ffpr.de