FBI legt internationales Banking-Botnet Dridex lahm

Das amerikanische Federal Bureau of Investigation (FBI) hat zusammen mit britischen Behörden ein von dem Banking-Trojaner Dridex (auch Cridex oder Bugat genannt) aufgebautes Bot-Netz nach eigenen Angaben zerstört. Mehrere Command-and-Control-Server (C&C), von denen aus das Netz mit verseuchten PCs gesteuert wurde, seien aufgespürt und deaktiviert worden.
 

Der nach Ansicht des FBI wichtigste Kopf hinter Dridex, der Moldawier Andrey Ghinkul, wurde bereits im August auf Zypern verhaftet. Amerikanische Behörden wollen nun seine Auslieferung in die USA erreichen.

Dridex hat nach Ansícht vieler Experten das Erbe des berüchtigten Banking-Trojaners Zeusangetreten und ist zu einem der am weitesten verbreiteten Schädlinge aufgestiegen, der vor allem versucht, in die Bankkonten seiner Opfer einzudringen und dort Geld zu klauen. Dridex soll auf Rechnern in 27 Ländern gefunden worden seien. Jede fünfte Infektion erfolgte nach Informationen von Symantec in Deutschland.
Das Botnetz sei in mehrere Unternetze aufgeteilt gewesen, die von unterschiedlichen Personen geleitet wurden. Dem FBI soll es gelungen sein, den Datenverkehr zwischen den verseuchten PCs und den C&C-Servern umzuleiten, so dass die Kriminellen keinen Kontakt mehr zu den Trojanern haben. Das bedeutet aber auch, dass sich die Schädlinge weiterhin auf den infizierten PCs befinden.
 
Das US-CERT (United States Computer Emergency Readiness Team) hat eine englischsprachige Kurzanleitung veröffentlicht, wie Dridex entfernt werden kann. Die Virenscanner von F-Secure, McAfee, Microsoft, Sophos und Trend Micro werden dort als Beispiele für Sicherheitslösungen genannt, die den Banking-Trojaner löschen können. In der Regel wird dies aber mittlerweile auch auf die meisten anderen verbreiteten Antivirenprogramme zutreffen, da kaum ein Hersteller nicht bereits Signaturen gegen Dridex erstellt und verteilt haben dürfte. Empfehlenswert ist ein zusätzlicher Scan mit dem kostenlosen Anti-Malware von Malwarebytes, das Sie in unserem Download-Bereich finden.
 
Der Schädling wurde nach Angaben des FBI vor allen über Spam-Mails verbreitet, die ein manipuliertes Word-Dokument enthalten. Öffnet ein Anwender diese Datei, dann werde zunächst ein Downloader heruntergeladen, der dann erst den eigentlichen Schädling lädt und installiert. Ob der Spuk mit der Festnahme von Ghinkul wirklich bereits vorbei ist, ist aber noch unsicher.
 


<- Zur Übersicht