Nach Angaben des Sicherheitsanbieters BitDefender stützt sich das obskure Spam-Schema auf einen Backdoor-Trojaner namens "Edunet", der infizierte Systeme nutzt, um Befehle an Mail-Server zu schicken. Entdeckt haben ihn die Security-Forscher durch Werbenachrichten, die Links zu Videos enthalten. Klickt der Empfänger darauf, wird er zum Download eines "Media Player" aufgefordert. Das allein sollte bereits die Alarmglocken schrillen lassen - immerhin nutzt das Gros der Videos mittlerweile in einen Web-Seite eingebettete oder im Betriebssystem befindliche Player. Bei dem "Media Player" handelte es sich in Wirklichkeit um die Edunet-Malware, die dann ein Botnetz kreiert, das versucht, Spam über eine Liste von Mail-Servern zu versenden.

Eine der Besonderheiten von Edunet ist seine auffallende Vorliebe für Mail-Server in den Domänen ".edu" und ".mil", die dann nach offenen Relays durchforstet werden. Dabei handelt es sich um eine Fehlkonfiguration, die Spammer häufig nutzen, um die tatsächliche Herkunft ihrer Werbe-Mails zu verbergen.

"Es wäre interessant herauszufinden, was die Institutionen, die die anvisierten Server betreiben, gemeinsam haben", so Sorin Dudea, Head of AV Research bei BitDefender. Bislang war das Botnetz jedoch offenbar wenig effektiv - den Sicherheitsforschern zufolge ist keines der auf der Liste der Angriffsziele aufgeführten Systeme derzeit verwundbar.

Während die Liste der Angriffsziele nach Angaben der Experten bislang unverändert geblieben ist, empfängt das Botnet seine Befehle von stets wechselnden Servern. Dies erschwere es, zu ermitteln, woher die Befehle stammen, so die Experten. (kf)