Cybercrime: Mega-D Botnetz zeigt wieder mehr Aktivität

[gullinews]

Durch das Trennen des Hosting-Anbieters McColo vom Internet ging das weltweite Spam-Aufkommen um bis zu zwei Drittel zurück. Über die Server bei diesem Webhoster wurden zahlreiche Netzwerke ferngesteuert. Alles in allem ist dieser Schritt als ein spürbarer Schlag gegen die Spam-Verbreiter anzusehen. Eines der drei großen Botnetze namens Mega-D scheint nun wieder den Weg in den aktiven Betrieb gefunden zu haben.

Das Mega-D-Zombienetz hat sich besonders für den Versand von potenzfördernden Mitteln und anderer Werbung einen Namen gemacht. Nachdem es in letzter Zeit verdächtig ruhig um dieses Gebiet wurde, scheinen die Mega-D Betreiber nun einen neuen Anbieter für ihre Control-Server gefunden zu haben. Es gibt bis dato noch keine konkrete Auskunft bezüglich des neuen Hosters. Zahlreiche Personen hegen derzeit ein gesteigertes Interesse daran, diese Frage zu klären.

weiterlesen

[DasFragezeichen]

Mal doof gefragt: Wenn man schon wusste wo die Rechner stehen, wieso hat man den Betreibern dann keine Falle gestellt. Ich meine es kann doch nicht so schwer sein diese Spamer ausfindig zu machen und zu verhaften. Zur Last kann man denen wohl genug legen, dass es für einen Mehrjährigen Knstaufenthalt reicht.

Einfach nen Hoster zu trennen und hoffen, dass es das dann war ist wirklich naiv. War doch klar, dass die sich den nächsten Dummen suchen.

[Bewa]

Mal doof gefragt: Wenn man schon wusste wo die Rechner stehen, wieso hat man den Betreibern dann keine Falle gestellt. Ich meine es kann doch nicht so schwer sein diese Spamer ausfindig zu machen und zu verhaften.

Ein riesiges Heer DAUs, die das AV-Prog deinstallieren, weil das ja sowieso nur Falschmeldungen liefert. Und die Hintermänner? Diejenigen, die die verhaften könnten, stehen bei denen möglicherweise auf der Gehaltsliste.

[DasFragezeichen]

Diejenigen, die die verhaften könnten, stehen bei denen möglicherweise auf der Gehaltsliste.

Deswegen legen die auch deren Botnetz lahm?

[Toronto]

Mal doof gefragt: Wenn man schon wusste wo die Rechner stehen, wieso hat man den Betreibern dann keine Falle gestellt.

Mal doof gefragt: Wo standen die Rechner denn? Es war lediglich klar, dass die Control-Server bei dem Provider waren, wo genau der stand, war indes nicht klar.
(Weiterhin müsste man dann auch an die Daten kommen: Auskunft vom Provider? Ich glaube das kannst du hier knicken...)

[Willmaster1]

es gibt keine "server" in dem sinn, war ja ein Bot netz, fast nur aus Privaten spam schleudern die Infiziert waren mit nem Trojaner

die Control server sind zwar down, die haben sich jetzt wahrscheinlich nen paar OVH roots zugelegt

[DasFragezeichen]

Naja, aber auch die Control-Server wollen bezahlt und gewartet werden und müssen irgendwie ans Netz angebunden sein. Ich denke, wenn man hätte wollen, wäre es kein Problem gewesen die Spamer endgültig aus dem Verkehr zu ziehen. Davon abgesehen, dass durch die spams ja Geld verdient wird und egal über wie viele Umwege die Kohle fließt - schlussendlich steht am Ende der Spamer himself. Kann doch für ein FBI oder what ever kein Ding der Unmöglichkeit sein diesen Geldfluss entweder zu unterbrechen oder besser noch zu seinem Bestimmungsort zu folgen. Sicherlich ist das ein Aufwand, aber dieser würde sich ja wohl wirklich lohnen. Bei Terroristen und deren Organisationen geht das ja auch (zumindest ein Stück weit).

[BluePeer]

Naja, aber auch die Control-Server wollen bezahlt und gewartet werden und müssen irgendwie ans Netz angebunden sein. Ich denke, wenn man hätte wollen, wäre es kein Problem gewesen die Spamer endgültig aus dem Verkehr zu ziehen. Davon abgesehen, dass durch die spams ja Geld verdient wird und egal über wie viele Umwege die Kohle fließt - schlussendlich steht am Ende der Spamer himself. Kann doch für ein FBI oder what ever kein Ding der Unmöglichkeit sein diesen Geldfluss entweder zu unterbrechen oder besser noch zu seinem Bestimmungsort zu folgen. Sicherlich ist das ein Aufwand, aber dieser würde sich ja wohl wirklich lohnen. Bei Terroristen und deren Organisationen geht das ja auch (zumindest ein Stück weit).

Da biste ja schon mal auf der richtigen spur ^^

Leider muss man dafür den empfänger oder zumindest den sender der gelder kennen ^^

und den rauszufinden ist glaub ich nicht so easy da der versender nicht "spamauftraggeber" heißst der zahlungs betreff nicht "nutzungs entgeld für spam versendung über Mega-D Botnetz" und der empfänger nicht "Mega-D Botnetz besitzer" heißst

sondern vielmehr der versender "Bayer Pharmazeutics" der betreff "Ultraclorid suflat BN: 237362 DAT: 12.4.2008" und der empfänger "Bryan Chemics And Son"

und da "Bryan Chemics and Son" wohl die server nicht selbst bezahlt sondern das vom crackdealer um die ecke gemacht wird ( oder ähnlich ^^) dürfte es sehr schwer sein hier jemanden zu finden

und was die tollen ansätze mit den servern angeht

Wenn der betreiber des Rechenzentrums das nicht gemerkt hätte ( äusserst unwarscheinlich da gleich die größsten der welt dort wahren ) dann wäre es zu blöd zzum betreiben eines rz ^^

Also gehen wir mal davon aus (genau wie die ISP's die das RZ getrennt haben) das der betreiber genau wuste was da vorsich geht und maßnahmen geriffen hat im falle des falls das polizei server sehen will diese gecleant werden noch bevor die bullen durch die eingangstüre gekommen sind

somit hätte die polizei nichts gefunden und das spammen wäre kurz darauf direckt weiter gegangen.

so ist jetzt aber der hoster weg vom fenster und für die spammer ein sicherer hafen weg einen neuen zu finden dauert wie jetzt gesehen wesentlich länger als ein backup image auf den server zu spielen was vieleicht 15 minuten dauert ^^

[Toronto]

(...)

1. Dazu würde man zumindest die Identität des Betreibers kennen, kennt aber keiner
2. Der Server wird hunderprozentig unter einem Strohmann laufen, keinerlei reele Angaben. Der Server wird dann noch im RZ des Providers gestanden haben und schon hat niemand mehr eine Ahnung von irgendwas...

[DasFragezeichen]

2. Der Server wird hunderprozentig unter einem Strohmann laufen, keinerlei reele Angaben. Der Server wird dann noch im RZ des Providers gestanden haben und schon hat niemand mehr eine Ahnung von irgendwas...

Dann macht man dem "Strohmann" eben klar, dass er zumindest wegen Beihilfe dran ist. Vielleicht fällt ihm dann ja doch ein wie er sein Geld bekommt, für wen er arbeitet und wie er sich überhaupt dafür hat einspannen lassen. (Und wehe es kommt mir jetzt einer mit armer arbeitsloser Familienvater, der sich halt was dazuverdienen wollte) Im übrigen bleibe ich dabei, dass man schon rausbekommen kann, wie der Geldfluss ist, wenn man nur den nötigen Aufwand dafür treibt. Das geht damit los, dass man den "Strohmann" oberviert, seine Geldgeschäfte und ähnliches überwacht und so bahnt man sich Stück für Stück zum Urheber des Ganzen. Wenn es nämlich wirklich so einfach ist, sich zu verstecken, dann frage ich mich, warum das nicht schon längst jeder macht der was zu verbergen hat.

[S3thG3ck0]

die jungs, die den spamversand betätigen scheinen keine hilfe zu brauchen und die, die hinter ihnen her sind haben mindestens das gleiche know-how wie ihr, mehr hintergrundinfos und experten.

was diskutiert ihr hier eigentlich? ich finde es interessanter zuzusehen, was passiert.

[Toronto]

"Strohmann"

Der Strohmann ist, wie angesprochen, keine reele Person, sondern eine Erfundene. Klar, dem Betreiber kannst du vorwerfen, er hätte die Identität prüfen müssen, aber das bringt dich auch nichts weiter (dass der Betreiber von dem Spam-Netz etwas hat mitbekommen müssen ist IMHO sehr wahrscheinlich...).