Das vergangenen September auf Initiative von Microsoft geschlossene Botnetzt Kelihos ist erneut aktiv. Wie Maria Gernaeva vom Sicherheitsunternehmen Kaspersky in einem Blogeintrag schreibt, wurde schon kurz nach der Schließung am 28. September eine neue Variante entdeckt, die dem Original sehr ähnlich ist.
Das ursprüngliche Kelihos-Botnetz bestand aus rund 41.000 infizierten Computern weltweit. Es war in der Lage, täglich rund 3,8 Milliarden Spam-E-Mails zu verschicken. In diesen wurde unter anderem für Medikamente und Websites mit kinderpornografischen Inhalten geworben. Die Betreiber des Botnetztes sollen zudem falsche Börsennachrichten verbreitet sowie E-Mails und Passwörter abgegriffen haben.
Um das Botnetz abzuschalten, setzten Microsoft und Kaspersky eine relativ neue Methode ein: Sie brachten die einzelnen infizierten Rechner – sogenannte Zombies – dazu, ihre Instruktionen von Computern zu erhalten, die von den Firmen kontrolliert wurden. Dadurch konnte das Botnetz relativ schnell deaktviert werden, ohne die Kontrolle über die Infrastruktur übernehmen zu müssen. „Allerdings ist diese Methode nicht sonderlich effektiv, wenn die Botnetz-Betreiber weiterhin auf freiem Fuß sind, wie dieser spezielle Fall zeigt“, schreibt Gernaeva.
Die Zombie-Rechner wurden der Sicherheitsexpertin zufolge mit neuen Schadcode-Varianten infiziert, die aktualisierte Verschlüsselungsmethoden und Algorithmen nutzen, um die Kommunikation zu verbergen. „Zwei verschiedene RSA-Schlüssel kommen in einer Struktur zum Einsatz, was uns schließen lässt, dass zwei unterschiedliche Gruppen jeweils einen Schlüssel besitzen und derzeit das Botnetz kontrollieren.“
Erst vor zwei Wochen war es Microsoft gelungen, den mutmaßlichen Autor des originalen Kelihos-Code zu identifizieren. In einer abgeänderten Beschwerde (PDF) vor dem US-Bezirksgericht für den Eastern District von Virginia beschuldigte der Softwareanbieter den im russischen Sankt Petersburg lebenden Andrej N. Sabelnikow, den Code geschrieben zu haben und an der Entwicklung der Malware beteiligt gewesen zu sein. Gegenüber der BBC erklärte Sabelnikow, er sei „überrascht und schockiert“ von Microsofts Anschuldigungen und „vollkommen unschuldig“.
