Spezialisten des australischen Sicherheitsanbieters Anbieters PC Tools haben eine neue Variante des Kraken-Bots "Bobax" entdeckt und den Quellcode seiner Schlüsselkomponenten öffentlich zugänglich gemacht. Das Sicherheitsexperten zufolge vorwiegend zu Spam-Zwecken missbrauchte Kraken-Botnetz gilt mit rund 400.000 gekaperten PCs als eine der bislang größten Zombie-Herden.

Den Malware-Forschern zufolge stützt sich die jüngste Bobax-Variante auf "Zufallsfaktoren", um sich von Schutzlösungen unbemerkt in ein Opfersystem zu schmuggeln. Demnach nutzt der Schädling einen Zufalls-Wortgenerator, mit dem er Scheinnamen (Bogus-Header) und zufällige URLs erstellt. Die Kraken-Malware könne dadurch Wörter mit exakt passenden Vokalen und Konsonanten kreieren, so die Experten. Dabei diktiere das interne Regelsystem dem Bot, wann er zufällige Vokale und Konsonanten aussuchen soll. "Womit wir es hier zu tun haben, ist ein künstlicher englischsprachiger Wortgenerator, der grammatikalischen Regeln folgt und Wörter produziert, die der englischen Sprache ähneln", erklärt Sergei Shevchenko, leitender Malware-Experte bei PC Tools. Dieser könne selbst Spam-Filter und Algorithmen umgehen, die zufällige Wortbildungen normalerweise anhand ungewöhnlicher Zeichenkombinationen erkennen. "Wenn aber ein Algorithmus zufällige Wörter nicht von "echten" unterscheiden kann, wird der Schädling weder erkannt noch blockiert", so der Security-Spezialist.

Des Weiteren nutzt der von PC Tools verhaltensbasierender Sicherheitssoftware "ThreatFire" abgefangene Schädling Verschlüsselung sowie "pseudo-zufällige" dynamische DNS-Namen, um mit den Kontrollzentren zu kommunizieren. "Wir haben nicht nur sämtliche Details der Kraken-Variante entschlüsselt, sondern auch die neue Liste der Domain-Namen und den mathematischen Algorithmus", so Shevchenko. Den Quellcode des Algorithmus, der Domain-Namen generiert, habe man veröffentlicht, um das jüngste Wissen über den Bot mit anderen Sicherheitsspezialisten zu teilen. (kf)