Torpig
Torpig, auch bekannt als Sinowal oder Anserin (wird überwiegend über Mebroot rootkit verbreitet), ist eine Botnetz-Variante, die durch unterschiedliche Trojanische Pferde verbreitet wird, die Computer mit Microsoft Windows betreffen. Torpig umgeht Antivirenprogramme durch die Nutzung von Rootkits. Die infizierten Systeme werden nach Zugangsdaten, Passwörtern gescannt und über Keylogger mitgeschnitten. So ist auch ein Man-in-the-middle-Angriff möglich.
Geschichte
Im November 2008 war die Schadsoftware verantwortlich für die Auspähung von 500.000 Zugängen für Online-Banking und Kreditkarten in den Vereinigten Staaten. Die Software wurde zu dem Zeitpunkt als "one of the most advanced pieces of crimeware ever created" bezeichnet.<ref>BBC News: Trojan virus steals bank info</ref>
Anfang 2009 übernahm ein Team von Sicherheitsexperten der University of California, Santa Barbara für zehn Tage die Kontrolle über das Botnetz. Während dieser Zeit wurde eine bis dahin noch nie dagewesene Menge (über 70 GB) an gestohlenen Daten festgestellt und wurden 1,2 Millionen IPs zum eigenen Command- & Control-Server umgeleitet. Der Report<ref><templatestyles src="Webarchiv/styles.css" />{{#if:20100418112213
| {{#ifeq: 20100418112213 | *
| {{#if: UCSB Torpig report | {{#invoke:WLink|getEscapedTitle|UCSB Torpig report}} | {{#invoke:Webarchiv|getdomain|http://www.cs.ucsb.edu/~seclab/projects/torpig/index.html}} }} (Archivversionen)
| {{#iferror: {{#time: j. F Y|20100418112213}}
| {{#if: || }}Der Wert des Parameters {{#if: wayback | wayback | Datum }} muss ein gültiger Zeitstempel der Form YYYYMMDDHHMMSS sein!
| {{#if: UCSB Torpig report | {{#invoke:WLink|getEscapedTitle|UCSB Torpig report}} | {{#invoke:Webarchiv|getdomain|http://www.cs.ucsb.edu/~seclab/projects/torpig/index.html}} }} {{#ifeq: | [] | [ | ( }}{{#if: {{#if: 2019-05-19 01:04:51 InternetArchiveBot | 2019-05-19 01:04:51 InternetArchiveBot | }} | des Vorlage:Referrer }} vom {{#time: j. F Y|20100418112213}} im Internet Archive{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
}}
}}
| {{#if:
| {{#iferror: {{#time: j. F Y|{{{webciteID}}}}}
| {{#switch: {{#invoke:Str|len|{{{webciteID}}}}}
| 16= {{#if: UCSB Torpig report | {{#invoke:WLink|getEscapedTitle|UCSB Torpig report}} | {{#invoke:Webarchiv|getdomain|http://www.cs.ucsb.edu/~seclab/projects/torpig/index.html}} }} {{#ifeq: | [] | [ | ( }}{{#if: {{#if: 2019-05-19 01:04:51 InternetArchiveBot | 2019-05-19 01:04:51 InternetArchiveBot | }} | des Vorlage:Referrer }} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{{webciteID}}}|1|10}}/86400}} }} days}} auf WebCite{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
| 9 = {{#if: UCSB Torpig report | {{#invoke:WLink|getEscapedTitle|UCSB Torpig report}} | {{#invoke:Webarchiv|getdomain|http://www.cs.ucsb.edu/~seclab/projects/torpig/index.html}} }} {{#ifeq: | [] | [ | ( }}{{#if: {{#if: 2019-05-19 01:04:51 InternetArchiveBot | 2019-05-19 01:04:51 InternetArchiveBot | }} | des Vorlage:Referrer}} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{#invoke:Expr|base62|{{{webciteID}}}}}|1|10}}/86400}} }} days}} auf WebCite{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
| #default= Der Wert des Parameters {{#if: webciteID | webciteID | ID }} muss entweder ein Zeitstempel der Form YYYYMMDDHHMMSS oder ein Schüsselwert mit 9 Zeichen oder eine 16-stellige Zahl sein!{{#if: || }}
}}
| c|{{{webciteID}}}}} {{#if: UCSB Torpig report | {{#invoke:WLink|getEscapedTitle|UCSB Torpig report}} | {{#invoke:Webarchiv|getdomain|http://www.cs.ucsb.edu/~seclab/projects/torpig/index.html}} }} ({{#if: {{#if: 2019-05-19 01:04:51 InternetArchiveBot | 2019-05-19 01:04:51 InternetArchiveBot | }} | des Vorlage:Referrer}} vom {{#time: j. F Y|{{{webciteID}}}}} auf WebCite{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
}}
| {{#if:
| Vorlage:Webarchiv/Today
| {{#if:
| Vorlage:Webarchiv/Generisch
| {{#if: UCSB Torpig report | {{#invoke:WLink|getEscapedTitle|UCSB Torpig report}} | {{#invoke:Webarchiv|getdomain|http://www.cs.ucsb.edu/~seclab/projects/torpig/index.html}} }}
}}}}}}}}{{#if:2019-05-19 01:04:51 InternetArchiveBot
| Vorlage:Webarchiv/archiv-bot
}}{{#invoke:TemplatePar|check
|all = url=
|opt = text= wayback= webciteID= archive-is= archive-today= archiv-url= archiv-datum= ()= archiv-bot= format= original=
|cat = Wikipedia:Vorlagenfehler/Vorlage:Webarchiv
|errNS = 0
|template = Vorlage:Webarchiv
|format = *
|preview = 1
}}{{#ifexpr: {{#if:20100418112213|1|0}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}} <> 1
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Genau einer der Parameter 'wayback', 'webciteID', 'archive-today', 'archive-is' oder 'archiv-url' muss angegeben werden.|1}}
}}{{#if:
| {{#switch: {{#invoke:Webarchiv|getdomain|{{{archiv-url}}}}}
| web.archive.org =
{{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von Internet Archive erkannt, bitte Parameter 'wayback' benutzen.|1}}
| webcitation.org =
{{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von WebCite erkannt, bitte Parameter 'webciteID' benutzen.|1}}
| archive.today |archive.is |archive.ph |archive.fo |archive.li |archive.md |archive.vn =
{{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von archive.today erkannt, bitte Parameter 'archive-today' benutzen.|1}}
}}{{#if:
| {{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|}}
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Wert des Parameter 'archiv-datum' ist ungültig oder hat ein ungültiges Format.|1}}
| }}
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Pflichtparameter 'archiv-datum' wurde nicht angegeben.|1}}
}}
| {{#if:
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Parameter 'archiv-datum' ist nur in Verbindung mit 'archiv-url' angebbar.|1}}
}}
}}{{#if:{{#invoke:URLutil|isHostPathResource|http://www.cs.ucsb.edu/~seclab/projects/torpig/index.html}}
|| {{#if: || }}
}}{{#if: UCSB Torpig report
| {{#if: {{#invoke:WLink|isBracketedLink|UCSB Torpig report}}
| {{#if: || }}
}}
| {{#if: || }}
}}{{#switch:
|addlarchives|addlpages= {{#if: || }}{{#if: 1 |}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: enWP-Wert im Parameter 'format'.|1}}
}}{{#ifeq: {{#invoke:Str|find|http://www.cs.ucsb.edu/~seclab/projects/torpig/index.html%7Carchiv}} |-1
|| {{#ifeq: {{#invoke:Str|find|{{#invoke:Str|cropleft|http://www.cs.ucsb.edu/~seclab/projects/torpig/index.html%7C4}}%7Chttp}} |-1
|| {{#switch: {{#invoke:Webarchiv|getdomain|http://www.cs.ucsb.edu/~seclab/projects/torpig/index.html }}
| abendblatt.de | daserste.ndr.de | inarchive.com | webcitation.org =
| #default = {{#if: || }}{{#if: 1 |}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Archiv-URL im Parameter 'url' anstatt URL der Originalquelle. Entferne den vor der Original-URL stehenden Mementobestandteil und setze den Archivierungszeitstempel in den Parameter 'wayback', 'webciteID', 'archive.today' oder 'archive-is' ein, sofern nicht bereits befüllt.|1}}
}}
}}
}}</ref> zeigt im Einzelnen, wie das Botnetz betrieben wurde.
Siehe auch
Einzelnachweise
<references />
Weblinks
- One Sinowal Trojan + One Gang = Hundreds of Thousands of Compromised Accounts by RSA FraudAction Research Lab, October 2008
- Don't be a victim of Sinowal, the super-Trojan by Woody Leonhard, WindowsSecrets.com, November 2008
- Antivirus tools try to remove Sinowal/Mebroot by Woody Leonhard, WindowsSecrets.com, November 2008
- Taking over the Torpig botnet, UCSB, April 2009
- Torpig Botnet Hijacked and Dissected covered on Slashdot, May 2009
- How to Steal a Botnet and What Can Happen When You Do by Richard A. Kemmerer, GoogleTechTalks, September 2009