Ferngesteuerte Spam-ArmeenFerngesteuerte Spam-Armeenauch von Ihrem PC?!

IRC – Bot:IRC – Bot:

- abgeleitet von RoBot (engl. : Roboter)abgeleitet von RoBot (engl. : Roboter)

- läuft als Hintergrundprozessläuft als Hintergrundprozess

- erhältlich für Windows (Windrop) und Linux (Eggdrop)erhältlich für Windows (Windrop) und Linux (Eggdrop)

- nimmt eine Verbindung zu einem IRC-Netz aufnimmt eine Verbindung zu einem IRC-Netz auf

- erhält die Botmaster – Befehle aus der Ferneerhält die Botmaster – Befehle aus der Ferne

Eine neue Bedrohung!Eine neue Bedrohung!

Von Trojaner installierte IRC – Bots werden Von Trojaner installierte IRC – Bots werden private Rechner zu gefährlichen DDOS-private Rechner zu gefährlichen DDOS-Attacken missbraucht.Attacken missbraucht.

- 72 Kbyte großes Programm- 72 Kbyte großes Programm

- verbreitet sich u.a. durch Mailsverbreitet sich u.a. durch Mails

- Bot installiert sich auf dem System und läuft Bot installiert sich auf dem System und läuft im Hintergrund und verbindet sich zu im Hintergrund und verbindet sich zu „seinem“ Server„seinem“ Server

- Botmaster steuert Bot und somit den - Botmaster steuert Bot und somit den infizierten Rechner aus der Ferneinfizierten Rechner aus der Ferne

Eine neue Bedrohung!Eine neue Bedrohung!

Von Trojaner installierte IRC – Bots werden Von Trojaner installierte IRC – Bots werden private Rechner zu gefährlichen DDOS-private Rechner zu gefährlichen DDOS-Attacken missbraucht.Attacken missbraucht.

- Botmaster veranlasst infizierten Rechner, Botmaster veranlasst infizierten Rechner, einen Server mit Datenmüll (DOS (Denial einen Server mit Datenmüll (DOS (Denial of Service)) zu überlastenof Service)) zu überlasten

- gleichzeitiger Angriff tausender infizierter gleichzeitiger Angriff tausender infizierter Rechner (DDOS (Distributed Denial of Rechner (DDOS (Distributed Denial of Service))Service))

- Bot benutzt „Opfer – PC“ als offenen Mail-Bot benutzt „Opfer – PC“ als offenen Mail-Proxy um Spam-Mails zu versendenProxy um Spam-Mails zu versenden

Die DDOS – Alle gegen einen!Die DDOS – Alle gegen einen!

- tausende Rechner schicken Datenmüll an eine „Opfer-“ Adressetausende Rechner schicken Datenmüll an eine „Opfer-“ Adresse

- das Opfer kann die Datenmenge nicht mehr verarbeitendas Opfer kann die Datenmenge nicht mehr verarbeiten

- Möglichkeit 1:Möglichkeit 1: Der Opfer-PC bricht unter der Datenmenge Der Opfer-PC bricht unter der Datenmenge zusammen und stürzt ab.zusammen und stürzt ab.

- Möglichkeit 2:Möglichkeit 2: Der Opfer-PC kann nicht mehr zwischen Datenmüll Der Opfer-PC kann nicht mehr zwischen Datenmüll und relevanten Daten unterscheiden. Ein weiterer Betrieb ist nicht und relevanten Daten unterscheiden. Ein weiterer Betrieb ist nicht gewährleistet.gewährleistet.

- Möglichkeit 3:Möglichkeit 3: Die Leitungen sind durch den Datenmüll verstopft, Die Leitungen sind durch den Datenmüll verstopft, relevante Daten kommen entweder gar nicht mehr am Ziel an oder relevante Daten kommen entweder gar nicht mehr am Ziel an oder mit hoher Verzögerungmit hoher Verzögerung

Die DDOS – Alle gegen einen!Die DDOS – Alle gegen einen!

BotmasterBotmaster (gibt den (gibt den Bots Befehl zur DDOS)Bots Befehl zur DDOS)

Infizierte PC´s, führen DDOS aus,Infizierte PC´s, führen DDOS aus,

Schicken „Datenmüll“ mit 16kbyte / Sekunde zum ZielSchicken „Datenmüll“ mit 16kbyte / Sekunde zum Ziel

„„Opfer“, wird mit Opfer“, wird mit

Geschwindigkeit * Anzahl der RechnerGeschwindigkeit * Anzahl der Rechner

„ „geflooded“geflooded“

Die Spamgefahr – Ein ungesicherter MailproxyDie Spamgefahr – Ein ungesicherter Mailproxy

Spam-AbsenderSpam-Absender MailProxyMailProxy

Ein Proxy:Ein Proxy:

- dient als „Relais“ zum Internetdient als „Relais“ zum Internet

- die IP des Absender wird mit der des Proxys „übersetzt“die IP des Absender wird mit der des Proxys „übersetzt“

- nur der Proxy ist im Internet „sichtbar“nur der Proxy ist im Internet „sichtbar“

- die Ursprungs-IP ist nicht, bzw. kaum zurückverfolgbardie Ursprungs-IP ist nicht, bzw. kaum zurückverfolgbar