Microsoft löscht „Sefnit-Botnet“ und Tor Browser Version von über 2 Mio. Systemen
Kommentare

Bereits seit Oktober 2013 arbeitet Microsoft offensiv an dem Schutz von Windows-Usern, die durch eine Installation eines infizierten Tor-Bundles mit dem Sefnit-Botnet zu kämpfen haben.

Cyber-Kriminelle nutzten den rasanten Anstieg an Tor-Installationen, der durch die Öffentlichmachung der NSA-Affäre entstanden ist, um die Sefnit Malware zu verbreiten. Die Tor Browser Userzahlen sind, seit der Veröffentlichung von Edward Snowdens Informationen über das Ausmaß der NSA-Spionage, immens gestiegen. Ein gefundenens Fressen also für kriminelle Blackhat Hacker.

Die Sefnit-Komponenten machen die infizierten Systeme anfällig für Click Fraud und Bitcoin Mining, ohne das der Benutzer davon etwas mitbekommt. Somit wurden die infizierten Windows Systeme von den Kriminellen instrumentalisiert, um Klickbetrügereien im großen Stil abzuwickeln und die Rechenleistung für die Verarbeitung von Bitcoin-Transaktionen auszunutzen.

Weitere Untersuchungen von Microsoft ergaben, dass außerdem bekannte Programme, wie Browser Protector oder FileScout mit der kompromittierten Tor-Version und Sefnit-Komponenten gebündelt wurden. Das Besondere an der Sefnit-Maleware-Infektion über diese Programme war, dass für den Nutzer unbemerkt die Tor Browser Software installiert wurde. Laut Microsoft war dies selbst nach Entfernung der Sefnit-Komponenten ein Problem, da auf diesen Systemen nach wie vor eine nicht aktuelle Tor Version v0.2.3.25 lief, die sich mit dem Tor-Netzwerk verband. 

Microsoft entschied sich also dafür, um die Entfernung der Malware auf Windows-Rechnern schnell umzusetzen, die Signaturen ihrer Sicherheitskomponenten zu aktualisieren und Tor-Installationen der Version v0.2.3.25 gleich mit zu entfernen.

We modified our signatures to remove the Sefnit-added Tor client service. Signature and remediation are included in all Microsoft security software, including Microsoft Security Essentials, Windows Defender on Windows 8, Microsoft Safety Scanner, Microsoft System Center Endpoint Protection, and Windows Defender Offline.

Auch das Malicious Software Removal Tool wurde aktualisiert. Eine sehr spannende Löschaktion also, basierten die Argumente für das offensive Eingreifen in das System der Nutzer und die Rechtfertigung der Tor-Entfernung lediglich darauf, dass die Tor Version v0.2.3.25 ohne automatische Versions-Update-Funktion funktioniert und in dieser Version einige bekannte Sicherheitslücken existieren.

Für versierte IT User zeigt dieses Vorgehen von Microsoft ein mal mehr, wie abhängig und zum großen Teil schutzlos weniger versierte PC-Nutzer sind. ZDnet titelte diesbezüglich sehr treffend: „If Microsoft thinks old Tor clients are risky, why not Windows XP?„. Über Sicherheitslücken in Windowssystemen könnte man eine never ending story schreiben. Selbstverständlich sollten Nutzer möglichst die aktuellste Version einer Software auf ihrem Rechner installiert haben, um bekannte Bugs auszuräumen oder Sicherheitslücken zu schließen. Das Problem mit dem Support älterer Versionen ist ein ewiger Kampf in der IT-Welt und häufig wird dieser eben irgendwann eingestellt.

Wenigstens hatte sich Microsoft mit Tor-Developern zusammengesetzt und das Vorgehen diskutiert. Trotz allem steht es Nutzern frei, wie sie ihr System gestalten. Ein Aufruf oder eine Bitte an die Windows User ihre Torversion zu aktualisieren, hätte es möglicherweise auch getan. Mit solchen Eingriffen wird die Angst der Nutzer vor zunehmenden Kontrollen und Eingriffen in ihre Privatsphäre nicht gerade geschmälert.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -