Bundesamt für Sicherheit in der Informationstechnik

Fragen und Antworten zur Avalanche-Botnetzinfrastruktur

English Version

Ich habe von der Abschaltung der Avalanche-Botnetz-Infrastruktur gehört. Was bedeutet das?

Eine international agierende Tätergruppierung hat eine Infrastruktur für Botnetze aufgebaut, über die millionenfach private und geschäftliche Computersysteme und Mobilgeräte mit unterschiedlicher Schadsoftware infiziert wurden. Ca. 20 verschiedene Botnetze nutzten diese Infrastruktur, um u.a. Spam- und Phishing-E-Mails zu versenden, Ransomware (Erpressungstrojaner) zu verbreiten und die Nutzer von Online-Banking-Angeboten zu betrügen. Nähere Informationen finden Sie dazu in der gemeinsamen Pressemitteilung der Staatsanwaltschaft Verden (Aller), der Zentralen Kriminalinspektion Lüneburg (ZKI) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) (Pressemitteilung vom 01.12.2016).

Ich habe eine Benachrichtigung von meinem Provider erhalten. Woher weiß dieser, dass ich betroffen bin?

Im Rahmen der Zerschlagung werden sogenannte Sinkhole-Server eingesetzt, zu denen die Verbindungsversuche infizierter Systeme umgeleitet werden. Sie dienen dazu, diese Verbindungsversuche aufzuzeichnen. Auf diesem Weg erhält das BSI die IP-Adressen dieser Systeme. Da den Internetserviceprovidern feste Adressbereiche zugeordnet sind, kann das BSI die in ihrem Adressbereich befindlichen IP-Adressen gezielt an die Provider melden. Diese sind dann in der Lage, die betroffenen Kunden zu identifizieren und zu warnen. Dies ist notwendig, da die Identifizierung der Kunden technisch ausschließlich durch die Internetserviceprovider erfolgen kann. Dem BSI liegen keine Kundendaten vor, eine direkte Warnung durch das BSI kann daher nicht erfolgen.

Ich habe eine Benachrichtigung von meinem Provider erhalten. Was soll ich tun?

Die Benachrichtigung bedeutet, dass zu dem von Ihrem Provider angegebenen Zeitpunkt an Ihrem Netzwerkanschluss ein Gerät Teil der Avalanche-Infrastruktur war und vermutlich immer noch ist.
Das BSI empfiehlt betroffenen Anwendern in diesem Fall, grundsätzlich alle am Netzwerkanschluss genutzten Computer oder Mobilgeräte auf Befall mit Schadsoftware zu überprüfen und Sicherheitslücken zu schließen. Es wurde festgestellt, dass die Täter in der Avalanche-Botnetz-Infrastruktur hauptsächlich Schadsoftware auf Rechnern mit Windows-Betriebssystem platziert haben. Daneben wurden aber auch Schadsoftwarefamilien identifiziert, die auf Smartphones und Tablets mit Android zum Einsatz kommen. Dennoch ist nicht auszuschließen, dass Schadsoftware auch unter anderen Betriebssystemen eingesetzt wurde.
Sofern Ihr Provider angegeben hat, um welche Schadsoftware es sich handelt, können Sie hier weitergehende Informationen zu den bisher bekannten der bei Avalanche eingesetzten Schadprogramme und einer empfohlenen Vorgehensweise erhalten.

Nach einer Bereinigung der Rechner und Mobilgeräte empfiehlt das BSI alle Passwörter zu ändern, die Sie für Ihren Mail-Account und andere Benutzerkonten bei Online-Shops, Sozialen Netzwerken oder weiteren Internetdiensten nutzen. Wichtig: Überprüfen und bereinigen Sie zuerst Ihre Systeme und ändern Sie danach Ihre Passwörter! Andernfalls kann eine eventuelle Schadsoftware auch die neuen Passwörter mitlesen.
Achten Sie bei der Änderung darauf, dass Sie ein möglichst sicheres Passwort wählen und nicht für jeden Dienst das gleiche Passwort nutzen.

Zur Prüfung auf Schadsoftwarebefall gibt es eine Reihe von Virenschutzprogrammen. Weitere Informationen rund um die Bereinigung von infizierten Rechnern finden Sie hier, sowie auf den Seiten des Anti-Botnet Beratungszentrums. Sollte Ihr Virenschutzprogramm keine Infektion finden, empfiehlt sich der Einsatz einer Virenschutz-Boot-CD, beispielsweise das Antibot Rettungssystem, welches vom Anti-Botnetz-Beratungszentrums angeboten wird. Bleiben Zweifel, dass die Infektion wirksam beseitigt wurde, sollten Sie das Betriebssystem neu installieren.

Um generell zu verhindern, dass Schadsoftware auf Ihren Rechner gelangen kann, beachten Sie bitte die Hinweise und Empfehlungen des BSI unter 12 Sicherheitstipps. Tipps zum Schutz Ihres Smartphones oder Tablets finden Sie hier.

Erkennt mein Virenschutzprogramm die über die Avalanche-Botnetze verteilte Schadsoftware?

In dieser Liste sind die Hersteller aufgeführt, deren Produkte nach Herstelleraussage einen großen Teil der Schadsoftware von Avalanche erkennen können. Das BSI hat nicht überprüft, ob und welchem Umfang dies zutreffend ist. Die Liste erhebt keinen Anspruch auf Vollständigkeit.
Durch die ständige Weiterentwicklung der Schadsoftware ist nicht gewährleistet, dass alle Infektionen von den nachfolgenden Herstellern garantiert erkannt werden können.

Software
AviraPC Cleaner
BitdefenderBitdefender Removal Tool
Dr. WebDr. Web CureIt!
ESETESET Online Scanner
F-SecureF-Secure Online Scanner
G-DataRescue-Boot CD
G DATA EU Ransomware Cleaner
KasperskyKaspersky Total Security
Kaspersky Rescue Disk
McAfeeMcAfee Stinger
MicrosoftMicrosoft Safety Scanner
Symantec/NortonNorton Power Eraser
TREND MICROHouseCall

Diese Liste wird erweitert.
Weitere Informationen rund um die Säuberung von infizierten Rechnern finden Sie hier, sowie auf den Seiten des Anti-Botnet Beratungszentrums.

Ich habe keine Benachrichtigung meines Providers erhalten. Bedeutet dies, dass mein Rechner frei von Schadsoftware ist?

Nein, leider bedeutet es das nicht automatisch. Falls Sie keine Benachrichtigung durch den Provider erhalten haben, bedeutet dies nur, dass die IP-Adresse Ihres Netzwerkanschlusses im Rahmen der Abschaltung der Botnetz-Infrastruktur nicht bekannt wurde oder Ihr Provider Sie noch nicht informiert hat. Das BSI informiert die Provider über die ihnen zugeordneten IP-Adressen infizierter Systeme. Die Zuordnung, welcher Kunde des Providers betroffen ist und die Entscheidung wann dieser informiert wird, erfolgt durch den Internet-Serviceprovider.
Es gibt neben der in der Avalanche-Botnetzstruktur eingesetzten Schadsoftware eine Vielzahl von Schadsoftware sowie viele weitere Botnetze, die auch weiterhin aktiv sind. Um eine mögliche Infektion zu erkennen, können Sie eine vollständige Untersuchung ihres Systems mit einem Virenschutzprogramm durchführen. Um generell zu verhindern, dass Schadsoftware auf Ihren Rechner gelangen kann, beachten Sie bitte die Empfehlungen des BSI unter 12 Sicherheitstipps.

Wie wurde mein Rechner infiziert?

Die Schadprogramme der Avalanche-Botnetz-Infrastruktur wurden typischerweise per E-Mail verbreitet. Diese enthielten oftmals eine persönliche Ansprache (Name und teilweise auch Vorname oder Nickname des E-Mail-Empfängers) und einen infizierten Dateianhang. Im Text dieser Spam-Mails [Information zum Thema: Spam-Mails] wurde dem Empfänger z.B. mitgeteilt, dass durch Vertragsabschlüsse, Mitgliedschaften, Onlinekäufe oder ähnliches Kosten in empfindlicher Höhe entstanden seien. In den unaufgefordert übersandten E-Mails befanden sich in der Regel Anhänge im "ZIP-Format", die eine Rechnung/ Abmahnung für den genannten Kauf, die Mitgliedschaft oder ähnliches enthielten. Im Anhang befand sich dann jedoch meist ein sogenannter Downloader, der Kontakt zu einem Steuerungsserver aufgenommen und von dort Schadsoftware heruntergeladen hat.
Grundsätzlich kann Schadsoftware auch über andere Verbreitungswege auf Ihr System gelangen.

Was bedeutet es, wenn mein Computer oder Smartphone Teil eines Botnetzes ist?

Die Infektion des Computers oder Smartphones mit Schadsoftware führt oft dazu, dass das System zum Teil eines Botnetzes wird. Mit dem Begriff Bot ist dabei ein Schadprogramm gemeint, welches einem Angreifer die Fernsteuerung des infizierten Gerätes ermöglicht. Von Botnetzen spricht man, wenn sehr viele Geräte (meist mehrere Tausend) per Fernsteuerung zusammengeschlossen werden. Botnetze werden dazu eingesetzt, vertrauliche Daten wie Passwörter, Online-Banking-Daten oder Geschäftsinformationen zu stehlen. Botnetze dienen auch dazu, verteilte Angriffe auf die Verfügbarkeit von Internetsystemen (sogenannte Distributed Denial of Service oder kurz DDoS-Angriffe) durchzuführen. Aufgrund ihrer vielfältigen Einsatzmöglichkeiten und der wirtschaftlich motivierten kriminellen Energie, welche die Täter aufbringen, stellen Botnetze derzeit eine der größten Gefahren im Internet dar. Über gefälschte/ manipulierte Internetseiten oder wie im Fall Avalanche, über Phishing-Angriffe mit gefälschten E-Mails, können Daten in falsche Hände gelangen oder auch Identitäten gestohlen werden.
Wie ein Botnetz funktioniert haben wir für Sie in einem kurzen Video erklärt.

Ist mir bereits ein Schaden entstanden, ohne dass ich es bemerkt habe?

Das ist möglich. Die von den Tätern eingesetzte Schadsoftware eröffnet eine Vielzahl von Möglichkeiten, auf den infizierten PC zuzugreifen. Etwa zur Ausspähung weiterer Daten auf Ihrem Computer oder zur Manipulation von Online-Transaktionen, die Sie bei Online-Shops oder im Rahmen des Online-Bankings durchführen.
Deshalb sollten Sie in regelmäßigen Abständen anhand eines Kontoauszugs etwa in Papierform prüfen, ob Ihnen verdächtige Kontobewegungen auffallen. Beispielsweise ist die in Avalanche eingesetzte Schadsoftware URLzone in der Lage, die Anzeige des Bankkontostandes im Internet-Browser zu manipulieren, so dass eine Prüfung per Internet-Browser kein verlässliches Ergebnis liefert. Wir haben für Sie Informationen zu sicherem Online-Banking zusammengestellt.

Mein Virenschutzprogramm zeigt nach einem Scan oder einer Bereinigung keine Infektion an. Ist mein System nun sicher?

Eine 100%-ige Garantie für eine erfolgreiche Bereinigung durch ein Anti-Virenprogramm ist nicht möglich, da die Angreifer regelmäßig die eingesetzte Software anpassen. Untersuchungen zeigen, dass befallene Systeme häufig mit mehreren Schadprogrammen infiziert sind. Es ist daher wichtig, nach einer Benachrichtigung durch den Provider Ihre Geräteanhand eines geeigneten Virenschutzprogramms sorgfältig auf Befall zu prüfen.
Sollten Sie Zweifel haben, dass die Bereinigung erfolgreich war, empfiehlt es sich sicherheitshalber, nach einem Backup der Daten das System zu löschen und neu aufzusetzen. Beachten Sie bitte dabei, dass Sie aus dem Backup keine ausführbaren Programme wiederherstellen, da diese mit der Schadsoftware befallen sein könnten. Ziehen Sie im Zweifel einen Computer-Spezialisten hinzu.
Um generell zu verhindern, dass Schadsoftware auf Ihren Rechner gelangen kann, beachten Sie bitte die Hinweise und Empfehlungen des BSI unter 12 Sicherheitstipps zusammengestellt.

Welche Schadsoftware wurde in der Avalanche-Botnetz-Infrastruktur identifiziert?

Nachfolgend werden bekannte Botnetzfamilien (Schadprogramme) dargestellt, die in der Botnetz-Infrastruktur Avalanche aufgefunden wurden. Bitte beachten Sie, dass die Hersteller von Virenschutzprogrammen die Botnetzfamilien nicht einheitlich benennen. Häufig werden bei Funden auch generische Namen wie z.B. "Downloader.XYZ" angezeigt.

Andromeda/GamarueMarcher TeslaCrypt
BolekMatsnuTiny Banker/Tinba
CitadelNymaimTrusteer App
CorebotPandabankerURLzone/Bebloh
Dofoil/SmokeloaderRanbyusVawtrak
Gozi2RovnixXswkit
KINS/VMZeusSmart App

Sind Geräte des Internets der Dinge (IoT) wie beispielsweise Webcams, Drucker oder TV-Empfänger betroffenen?

Bei der analysierten Botnetz-Infrastruktur konnten keine IoT-Botnetze identifiziert werden. Nach aktuellem Kenntnisstand des BSI sind vorrangig Windows-Systeme und Android-Smartphones betroffen.

Was ist der Unterschied zwischen einer Botnetz-Infrastruktur und einem Botnetz?

Eine Botnetz-Infrastruktur wird von Kriminellen als redundante Infrastruktur zum Betrieb von Botnetzen angeboten. Sie ermöglicht es den Tätern, ihre auf vielen tausend Geräten verteilten Bots (das Botnetz) zu steuern ohne eine Vielzahl von eigenen Servern betreiben zu müssen.

Warum könnten einzelne Botnetze trotz des Aushebens der Infrastruktur wieder aktiv werden?

Die Botnetz-Infrastruktur wurde zwar abgeschaltet, die Bots selbst bleiben aber bis zu einer Bereinigung durch den Nutzer auf den Geräten. Falls es den Tätern gelingt, eine alternative Botnetz-Infrastruktur aufzubauen, könnten diese Bots erneut ferngesteuertwerden. Daher ist es wichtig, diese Bots zügig von betroffenen Geräten zu entfernen.

Mein Provider hat in seinem Anschreiben den Namen einer Schadsoftware genannt, mein Virenschutzprogramm findet aber nur Schadsoftware mit anderem Namen. Was bedeutet das?

Die Hersteller von Virenschutzprogrammen benennen Schadsoftware von Botnetzen nicht einheitlich. Eine Zuordnung von Schadsoftware zu Botnetznamen ist zudem sehr aufwändig und nicht immer eindeutig, da manche Schadsoftware als sogenannte Downloader nur zum Nachladen weiterer Schadprogramme genutzt werden. Häufig ist auf infizierten Rechnern zudem Schadsoftware für mehrere Botnetze zu finden. Daher werden bei Funden häufig generische Namen wie z.B. "Downloader.XYZ" angezeigt.

Was hat dies mit gestohlenen Identitäten zu tun?

Beim dem aktuellen Takedown der Avalanche-Botnetzinfrastruktur handelt es sich nicht um einen Datenfund gestohlener Identitäten. Bei der Zerschlagung der Avalanche-Botnetz-Infrastruktur werden die Bürger direkt von Ihren Providern informiert, sofern ihre Rechner aktuell infiziert sind.

Ich habe mein System bereinigt oder neu aufgesetzt, erhalte nun aber eine zweite Benachrichtigung durch meinen Provider. Muss ich erneut tätig werden?

Ja. Erhalten Sie eine erneute Meldung durch Ihren Provider, ist Ihr System oder Ihr Smartphone erneut oder immer noch mit Schadsoftware infiziert. Dies kann beispielsweise folgende Gründe haben:

  • Ihre Bereinigung war nicht erfolgreich oder nicht vollständig. Es empfiehlt sich, das System neu aufzusetzen. Im Zweifel sollten Sie einen Computer-Spezialisten hinzuziehen.
  • Ihr System wurde erneut mit Schadsoftware infiziert. Bitte beachten Sie unsere Tipps zum Schutz Ihres Systems und unsere Hinweise zum sicheren Surfen im Internet und zum Umgang mit E-Mails.
  • Ein anderes System an Ihrem Netzwerkanschluss ist immer noch oder erneut mit Schadsoftware infiziert.

Erhalte ich nun jedes Mal, wenn mein System mit Schadsoftware infiziert ist, eine Benachrichtigung?

Nein. Sie erhalten nur dann eine Benachrichtigung, wenn Ihr System mit Schadsoftware infiziert ist, die mit Sinkholes der abgeschalteten Avalanche-Botnetz-Infrastruktur oder mit anderen Sinkholes kommuniziert, deren Informationen das BSI erhält. Schadsoftware, die aus anderen Quellen stammt, wird davon nicht erfasst, daher erhalten Sie darüber auch keine Benachrichtigung.

Um generell zu verhindern, dass Schadsoftware auf Ihren Rechner gelangen kann, beachten Sie bitte die Hinweise und Empfehlungen in den zwölf Sicherheitstipps des BSI.

Was ist ein Sinkhole-Server?

Ein gängiges Verfahren zur Identifikation mit Schadprogrammen infizierter Systeme ist die Umleitung von Steuerungsdomänennamen auf sogenannte "Sinkholes". Dabei werden die durch Analyse von Schadprogrammen ermittelten Domainnamen, mit denen die Schadprogramme kommunizieren, in Zusammenarbeit mit den zuständigen Domain-Registrierungsstellen auf Sinkhole-Server umgeleitet. Die Sinkholes protokollieren anschließend die Zugriffe auf die schädlichen Domainnamen mit Zeitstempel und der Quell-IP-Adresse sowie Quell-Port, von welcher der Zugriff erfolgte. Solche Sinkholes werden von zahlreichen Analysten und IT-Sicherheitsdienstleistern weltweit betrieben.

Da sich unter den Domainnamen keine legitimen Internetangebote befinden, werden diese üblicherweise nicht angesteuert. Ein Zugriff auf einen solchen Domainnamen ist daher ein gutes Indiz, dass sich unter der Quell-IP-Adresse, von welcher ein Zugriff erfolgt, mit hoher Wahrscheinlichkeit ein mit einem entsprechenden Schadprogramm infiziertes System befindet.
Die von den Sinkhole-Betreibern gelieferten Daten enthalten üblicherweise zu jedem protokollierten Zugriff einen Zeitstempel, die Quell-IP-Adresse, den aufgerufenen schädlichen Domainnamen und eine Bezeichnung des damit verbundenen Schadprogramms, welches den Domainnamen für die Kontaktaufnahme zu einem Kontrollserver verwendet. Häufig sind auch die IP-Adressen der Sinkholes sowie die Quell- und Ziel-Portnummern der Verbindung in den Daten enthalten.