ISPs berichten erfolgreich im Kampf gegen Malware-infizierte PCs

Computer, die mit bösartiger Software infiziert sind, bereiten ISPs immer noch große Kopfschmerzen, aber zwei Unternehmen haben Systeme entwickelt, die das Problem viel leichter beherrschbar machen.

Wenn ein PC mit Schadsoftware infiziert wird, wird er häufig zum Versenden von Spam verwendet. Dies lässt den ISP schlecht aussehen und die Bandbreite auffressen, wodurch Netzwerke überlastet werden.

True Internet, einer der größten ISPs in Thailand, war von einer ständig wachsenden Zahl von Malware-infizierten Computern in seinem Netzwerk betroffen. Der Spam- und Malware-Verkehr war so stark, dass seine Kunden - von denen die meisten noch Dial-up-Verbindungen haben - sich über langsame Geschwindigkeiten beschwerten, sagte Tanapon Chadavasu, Leiter des Netzwerkbetriebs von True Internet.

[Weitere Informationen: Wie? um Malware von Ihrem Windows-PC zu entfernen]

Das Problem kostete das Unternehmen auch Geld, da Bandbreite in der Gegend teuer ist und mehr Hardware benötigt wird, um das Netzwerk am Laufen zu halten, sagte Chadavasu am Mittwoch bei der Anti-Messaging-Konferenz. Sitzung der Arbeitsgruppe "Missbrauch" in Amsterdam.

True Internet installierte Ausrüstung von einer neuseeländischen Firma namens Esphion, die anomales Verhalten im Netzwerk identifiziert. Die passiven Geräte identifizieren Angriffsmuster wie Denial-of-Service-Angriffe oder Zero-Day-Würmer.

Wenn die Sensoren von Esphion etwas wie eine große Menge an Spam entdecken, wird eine Warnung an einen Controller gesendet, der dann automatisch reagieren kann Quarantäne des Abonnenten, sagte Chadavasu.

Wenn ein Abonnent dann online geht, werden sie zu einer Seite weitergeleitet, die ihnen mitteilt, dass ihr Computer infiziert sein könnte. True Internet hat eine Partnerschaft mit dem Sicherheitsanbieter Trend Micro, um die PCs der Abonnenten zu scannen.

"Sobald sie den Computer gereinigt haben, werden wir ihnen erlauben, ins Netz zurückzukehren", sagte Chadavasu Englisch: www.germnews.de/archive/dn/1998/02/15.html Nach zwei unfairen Vorfällen habe er einen Kunden in Quarantäne gestellt, aber nach einem Vorfall seine Politik im letzten August in Quarantäne verschoben, sagte Chadavasu. Der Spam in seinem Netzwerk sank dramatisch und die Internetsicherheit der Kunden verbesserte sich.

Fast 70 Prozent der ein- oder zweimal in Quarantäne befindlichen PCs werden nie wieder unter Quarantäne gestellt, so Chadavasu, was auf ein besseres Sicherheitsbewusstsein der Verbraucher hinweist.

"Wir halten das für sehr effektiv", sagte Chadavasu.

NetCologne, ein ISP- und Kabel- und Telefonanbieter in Deutschland, hat einen ähnlichen Ansatz zur Automatisierung des Zugriffs auf mit Malware infizierte Abonnenten gewählt.

NetCologne schließt ebenfalls ab Abonnenten, die in irgendeiner Art von Missbrauch zu leiden scheinen und ihnen die Möglichkeit geben, Microsoft-Sicherheitspatches herunterzuladen oder sogar Sicherheitssoftware zu kaufen, sagte Dietmar Braun, Systemingenieur und Entwickler für das Unternehmen. Sobald Benutzer ihr System bereinigt und Patches angewendet haben, können sie ihren Zugriff automatisch entsperren.

Um PCs zu identifizieren, die möglicherweise mit Malware infiziert sind, hat NetCologne einen Honigtopf eingerichtet. Infizierte Computer versuchen oft, andere Computer im selben Netzwerk anzugreifen, so dass der Honeypot ein einfaches Ziel für die Identifizierung des Abonnenten ist.

Die Abtrennroutine wird über eine Anwendung namens PHREAK, oder Program for for NetCologne, gehandhabt Honeepot-induzierte Reaktion, die beim automatischen Töten endet. Er erstellt einen Missbrauchsbericht oder ein Ticket und trennt dann den Benutzer von der Verbindung mit der Sicherheitssoftware.

Dies wird in Verbindung mit ANANAS verwendet, das für das automatische Netzwerkmissbrauchs-Analogie-System steht. ANANAS werde in den meisten Fällen automatisch auf Missbrauchsbeschwerden anderer Unternehmen reagieren, sagte Braun. Es schließt den Kreis mit jenen Unternehmen, die Missbrauch durch NetColognes Netzwerk bemerkt haben.

"Unser Missbrauchsmanagement ist in der Lage, die meisten Tickets in kürzester Zeit zu lösen", sagte Braun.

Insgesamt hat NetCologne den Ansatz verfolgt so erfolgreich, dass das Unternehmen nur etwa 20 Stunden pro Woche eine Person beschäftigt, die Missbrauchsprobleme für etwa 500.000 Abonnenten behandelt, sagte Braun.