02.12.2015 16:37

Ponmocup

Aktuell ist das Botnet, zu dem wir die meisten Infektionen gemeldet bekommen, immer noch Conficker. Weit abgeschlagen dahinter finden sich "gozi", "nymaim", "ZeuS" (incl. Varianten), "tinba" und "dyre". Die genauen Zahlen variieren stark, da ist die Konsistenz der Messungen nicht die beste.

Jetzt haben wir einen neuen Namen hoch oben in der Liste: "Ponmocup". Die Malware selber ist nicht neu, manche setzten die erste Erkennung mit 2009 an, andere behaupten, dass sie schon 2006 als Vundo oder Virtumonde erkannt wurde. Sie ist jedenfalls sehr erfolgreich, und hat über Jahre hinweg ein sehr großes Botnet aufgebaut.

Es gab jetzt eine gemeinsame Aktion mehrerer Sicherheitsteams, um dieses Botnet zu zerschlagen. Mit dabei war auch Fox-IT, die bei der Gelegenheit einen ausgiebigen Bericht veröffentlicht haben.

CERT.at bekommt - wie bei solchen Takedowns üblich - die Daten aus den Sensoren ("Sinkholes") der Forscher. Die erste Runde an Warnmails von uns bezüglich Ponmocup-infizierter PCs ging schon gestern an unsere Kontakte bei ISPs und anderen Netzbetreibern.

Zahlen will ich noch keine nennen, diese werden erst in den nächsten Tagen gesichert vorliegen.

Autor: Otmar Lendl