Der Trojaner FBot infiziert Windows-Rechner und sucht den Krypto-Miner com.ufo.miner und entfernt diesen vom befallenen System, was ihn grundsätzlich von anderen Botnetzen unterscheidet. Im Hintergrund schürft der Krypto-Miner mittels eines Coinhive-Skriptes heimlich die Kryptowährung Monero, nachdem dieser vom FBot unschädlich gemacht wurde, löscht sich FBot selbst.

Der Trojaner kommuniziert mit seinem Command-and-Control-Server nicht über konventionelle DNS-Server, sondern nutzt ein Blockchain-basiertes DNS-Protokoll namens EmerDNS, welches vom Blockchain-Diensteanbieter Emercoin betrieben wird.

Ansonsten hat FBot viele gemeinsame Merkmale mit dem Satori-Botnetz. Der Trojaner wurde von der chinesischen Sicherheitsfirma 360 Netlab entdeckt. Ihre Erkenntnisse zu dem Trojaner fassen die Forscher in einem Blog-Artikel zusammen. Obwohl FBot aktuell Dinge tut, die für die Besitzer der befallenen Rechner positiv sind, verstößt das gut gemeinte kurzzeitige Infizieren fremder Rechner in den meisten Länder gegen geltendes Recht.

Dass solche quasi-gutartigen Angriffe viele Infektionen beenden oder wenigstens eindämmen könnten, hatten Sicherheits-Experten und die Vertreter von Anti-Viren-Herstellern in der Vergangenheitimmer immer wieder zur Diskussion gestellt, allerdings scheint bisher der Konsens in der Security-Gemeinde zu sein, dass solche Eingriffe in die Hoheit eines Anwenders über sein System zu weit gehen.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE