Schwerte, 18.08.2014 – OpenDNS Security Labs hat kürzlich darauf hingewiesen, dass GameOver Zeus seit Kurzem auch auf Algorithmen zur Domain-Generierung (DGAs) setzt. In freier Wildbahn konnte der Virenschutzhersteller Bitdefender bisher zwei Versionen ausmachen: eine davon generiert 1.000 Domains am Tag, die andere kommt auf 10.000. Die neu angelegten Domains sind dann jeweils nur für einen Tag aktiv. Durch das so genannte Sinkholing einer bestimmten Domain ist Bitdefender in der Lage, die Struktur und Aktivitäten des Botnetzes für den jeweiligen Tag zu untersuchen.
Nachdem das Sinkhole-Verfahren für 5 Domains an 5 verschiedenen Tagen für jedes der beiden Botnetze angewendet wurde, konnten gewisse Konstanten beobachtet werden, die einige interessante Schlussfolgerungen ermöglichten. Die jeweiligen Botnetze hinter den zwei Algorithmen zur Domain-Generierung unterscheiden sich bei ihren Zielländern erheblich. Die erste Version hat offenbar in den USA eine höhere Infektionsdichte, was angesichts der Tatsache, dass die Mehrzahl der Malware-Familien hier Geld erpressen, keine Überraschung ist. Die weltweite Verbreitung dieser Version (einschließlich aller Sinkhole-Domains) wird aus der Abbildung unten ersichtlich:
Abbildung 1: Verbreitungskarte nach eindeutigen IPs für Zeus GameOver mit der ersten Version des DGA
Die Daten bestätigen die von Peter Kruse von CSIS Security gemachten Beobachtungen. Von 5.907 eindeutigen IPs, die unser Sinkhole kontaktierten, kamen 4.936, also 83,7 %, aus den USA. Die folgende Tabelle bietet einen Überblick über die Top 10 der infizierten Länder:
| Platz | Land | Anzahl der eindeutigen IPs | Verbreitung |
| 1 | USA | 4.936 | 83,7 % |
| 2 | Indien | 195 | 3,3 % |
| 3 | Singapur | 76 | 1,3 % |
| 4 | Japan | 62 | 1,1 % |
| 5 | Deutschland | 44 | 0,7 % |
| 6 | Vereinigtes Königreich | 42 | 0,7 % |
| 7 | Russland | 41 | 0,7 % |
| 8 | China | 28 | 0,5 % |
| 9 | Türkei | 26 | 0,4 % |
| 10 | Mexiko | 25 | 0,4 % |
|
Tabelle 1: Top 10 der Infizierungen mit GameOver Zeus und der ersten Version des DGA |
|||
Die zweite Version hat zweifellos die Ukraine und Weißrussland ins Visier genommen, wie die Abbildung unten deutlich macht:
Abbildung 2: Verbreitungskarte nach eindeutigen IPs für Zeus GameOver mit der zweiten Version des DGA
3.046 von insgesamt 4.316, also 70,7 % der eindeutigen IPs kommen aus der Ukraine und Weißrussland. Unten sehen Sie die Verbreitung in den 10 am häufigsten betroffenen Ländern:
| Platz | Land | Anzahl der eindeutigen IPs | Verbreitung |
| 1 | Ukraine | 1,854 | 43 % |
| 2 | Weißrussland | 1,192 | 27,7 % |
| 3 | Türkei | 244 | 5,7 % |
| 4 | Aserbaidschan | 222 | 5,1 % |
| 5 | Kasachstan | 118 | 2,7 % |
| 6 | Russland | 88 | 2 % |
| 7 | Kirgisistan | 83 | 1,9 % |
| 8 | Indonesien | 60 | 1,4 % |
| 9 | Moldawien | 57 | 1,3 % |
| 10 | Deutschland | 55 | 1,3 % |
|
Tabelle 2: Top 10 der Infizierungen mit GameOver Zeus und der zweiten Version des DGA |
|||
Zwar wurden für das Botnetz, das primär die USA zum Ziel hat, zuletzt mehrere Domains registriert, bei dem Botnetz, das es auf die Ukraine und Weißrussland abgesehen hat, gab es dafür jedoch keinerlei Anzeichen. Und auch wenn das bedeutet, dass die Bots momentan von niemanden genutzt werden, könnte sich jedoch jederzeit ein neuer Herrscher über dieses Botnetz finden.
Weitere Informationen über das Unternehmen und seine Produkte finden Sie unter www.bitdefender.de.
Über Bitdefender®
Bitdefender ist Hersteller einer der weltweit schnellsten und effektivsten Produktserien für international zertifizierte Internet-Sicherheits-Software. Seit dem Jahr 2001 ist das Unternehmen immer wieder ein innovativer Wegbereiter der Branche, indem es preisgekrönte Schutzlösungen einführt und weiterentwickelt. Mittlerweile setzen weltweit rund 400 Millionen Privat- und Geschäftsanwender auf die Bitdefender-Technologie, um ihre digitale Welt sicherer zu machen. Bitdefender hat vor kurzem eine Reihe wichtiger Empfehlungen und Auszeichnungen in der globalen Sicherheitsindustrie erhalten. Dazu gehören “Produkt des Jahres 2012” von AV-Comparatives, “Beste Reparatur 2012” von AV-Test und “Editor’s Choice” des PC Mag. Diese Auszeichnungen bestätigen den Spitzenplatz der Software unter den Sicherheitslösungen. Weitere Informationen zu den Antivirenprodukten von Bitdefender sind im Bitdefender Security Center der Unternehmenswebseite im Pressecenter verfügbar.
Über Bitdefender HOTforSecurity®
Zusätzlich veröffentlicht Bitdefender das englischsprachige Blog „HOTforSecurity“, welches rund um die aktuelle Sicherheitslage weltweit informiert. Es bietet eine prickelnde Mischung aus nebulösen Computersicherheitsgeschichten und sachlich fundierten Stories, die die schmutzige Welt der Internetbetrügereien, Spams, Scams, Malware und des Klatsches sichtbar macht. Bitdefender pflegt auch eine deutsche HOTforSecurity-Version, die sich insbesondere auf die Nachrichtenlage im deutschsprachigen Raum (Deutschland, Österreich, Schweiz) konzentriert. Wollen Sie zu allen aktuellen Bedrohungen immer auf dem Laufenden sein, dann abonnieren Sie hier unseren Newsletter.
Pressekontakt:
Bitdefender
DV24, Building A
24 Delea Veche Street, Sector 2
Bukarest, 024102, Rumänien
Ansprechpartner:
Andrei Taflan
PR Coordinator
Tel.: +40 (0) 731 – 496 792
E-Mail: ataflan@bitdefender.com
Deutsche Niederlassung:
Bitdefender GmbH
TechnoPark Schwerte
Lohbachstrasse 12,
D – 58239 Schwerte
PR-Agentur:
Fink & Fuchs PR AG
Paul-Heyse-Str. 29
D-80336 München
Ansprechpartner:
Michaela Eichner
Tel.: +49 (0)89 – 589787-14
E-Mail: bitdefender@ffpr.de
Weitere Artikel
Bitdefender warnt vor russischen Hackern, die unter dem Deckmantel regierungsfeindlicher Software den Kelihos-Trojaner verbreiten
Check Point liefert Sichtbarkeit von Cyberbedrohungen im Zeitalter von Big Data
Bitdefender-Studie: Wachsende Vielfalt an Apps erhöht Sicherheitsbedrohungen
Deutschlands Internet Gau