SecureWorks hat einen neuen Bericht veröffentlicht der einen kurzen Abriß auf die Botnetaktivitäten 2008 gibt und sich dann einer kurzen Analyse und Ausblick auf das Jahr 2009 widmet.

In 2008 gab es 3 wichtige Entwicklungen:

• Das Storm-Botnet stirbt im September 2008. Nachdem Forscher dieses Botnet genau unter die Lupe genommen hatten und Möglichkeiten entdeckten das Netz nachhaltig zu stören sowie Microsofts Malicious Software Removal Tool (MSRT) für eine große Desinfektionswelle sorgte, fiel die Anzahl der aktiven Zombies immer weiter bis das Botnet im September offensichtlich seinen Dienst einstellte.
• Nach der Abschaltung des Spam-Hosters McColo fiel auf einen Schlag das weltweite Spamaufkommen um mehr als 50%. Insbesondere die botnets Rustock und Srizbi waren davon stark betroffen. Leider konnten die Rustock Betreiber ihre Zombies kurz darauf wieder kontaktieren und ihnen neues Leben einhauchen und das Spamniveau pegelte sich in den Wochen danach langsam wieder auf alte Werte ein. Srizbi dagegen konnte sich bis dato nicht wirklich erholen.
• Das Ende von Bobex/Kraken kam ebenfalls in 2008. Nachdem im April Analysen über dieses Botnet veröffentlicht wurden, wurde es weltweit von Sicherheitsfirmen unter Beschuss genommen und massiv gestört. Allerdings konnte es sich davon erholen, wenn auch mit deutlich verminderter Zahl an Zombies. Als dann aber am 18. Dezember die von Bobax/Kraken genutzen Control&Command Server durch den von ihnen genutzen Provider abgeschaltet wurden, kam das botnet praktisch zum erliegen. Ob es wiederaufersteht wird sich zeigen.

Der Ausblick auf da Jahr 2009 behandelt die noch vorhandenen Botnetze und mögliche Tendenzen:

Cutwail
Mit ca. 175.000 Zombies ein sehr großes Botnet. Cutwail war durch die McColo Abschaltung kaum betroffen und bekam eher Zuwachs und wird ein vorerst aktiver Begleiter in 2009 sein.

Rustock
Durch die McColo Abschaltung noch geschwächt, weist es trotzdem noch ca. 130.000 Zombies auf und versendet neuerdings wieder fleissig Spam und verwendet dabei Maßnahmen die versuchen bestehende Filtersystem zu umgehen.

Donbot
Mit 125.000 gehört Donbot zu den großen Botnetzen und ist anscheinend in der Hand mehrerer Spammer die jeweils verschiedene Netzwerke nutzen.

Ozdok
Mit 120.000 Zombies ebenfalls in der oberen Liga zu finden und in der Lage größere Mengen an Spam zu versenden.

Xarvester
Anfang 2008 noch ein kleiner Spieler mit “nur” 60.000 Zombies. Konnte offensichtlich durch die McColo-Abschaltung neue Kunden gewinnen. Momentan eines der aktivsten Botnets.

Grum & Gheg
2 kleinere Botnets mit jeweils ca. 50.000 Zombies.

Cimbot & Waledac
Mit jeweils 10.000 Zombies zwei sehr kleine Botnetze, wobei zu sagen ist das Waledac eine Neufassung des Storm-Botnets zu seien scheint und insbesonderen zur Weihnachtszeit 2008 sehr präsent war. Möglicherweise ein zu beachtenes Botnetz in diesem Jahr.

Vielleicht sehen wir dieses Jahr weitere ähnliche Dinge wie die McColo Abschaltung die, zumindestens zeitweise, den Spam ein wenig verringern.