Die Sicherheitsspezialisten der Firma FaceTime Communications haben einen neuen Schädling identifiziert, der Rechner via AIM infiziert und anschließend zu einem Botnetz verbindet.

Die Vorgehensweise ist dabei immer dieselbe: AOL-Nutzer erhalten angeblich von einem ihrer Bekannten eine Nachricht, die einen Link enthält. Wird dieser angeklickt, erfolgt die Infektion. Dabei wird eine Datei herunter geladen, die auf den ersten Blick wie ein JPG-Bild aussieht, aber schädlichen Code enthält. Die Datei kann dann unterschiedliche Aktionen starten, etwa einen Kommunikations-Port öffnen und Spam-Mails versenden. Sie kann aber auch eine Version des Rootkits "Hacker Defender" im System installieren, die laut FaceTime besonders schwer zu entdecken und beseitigen ist.

Der befallene Rechner lädt anschließend weitere Schadsoftware nach und kontaktiert nach dem Zufallsprinzip unterschiedliche Sites im Internet. Die Experten vermuten, dass bereits 1.000 bis 2.000 PCs auf diese Weise zu einem Botnetz zusammengeschlossen wurden. Darüber hinaus könnten weitere Rechner bereits infiziert, aber noch nicht aktiv mit dem Botnetz verbunden sein.

Der Bot-Verbund ist laut Facetime viel fortgeschrittener, "als alles, was wir bis dahin gesehen haben". Dazu gehöre etwa die Möglichkeit, nur bestimmte IRC-Clients (Internet Relay Chat) den Kontakt zum Botnetz und dessen Steuerung zu gestatten.

Das Hauptaugenmerk liegt aus Sicht von Chris Boyd, Leiter der Malware Research der FaceTime Security Labs, jedoch weniger auf den Dateien, die auf den Rechner geladen werden, sondern auf der Art und Weise, wie das geschieht: "Bisher konzentrierten sich IM-Attacken auf den Schaden, den die heruntergeladenen Dateien anrichten, die Transportmethode war dabei zweitrangig. Hier scheint es jedoch darum zu gehen, so viele Installationskanäle wie möglich einzurichten."

FaceTime rät Anwendern, unerwartet zugeschickte Links nicht sofort anzuklicken, sondern erst beim Versender nachzufragen, ob er tatsächlich von diesem stammt. (ave)