Was dort also passiert ist, ist, dass über das Wochenende einige Domainnamen umgeleitet wurden, von einer alten IP zu einer neuen IP. Wir konnten das beobachten. Und dann ließ sich relativ leicht feststellen, dass es sich um eine deutsche IP handelt. Dieser Server ist inzwischen aber nicht mehr erreichbar.
Ja, also was uns natürlich aufgefallen ist, dass sehr viele Domains, die registriert wurden, für diesen Schädling, anscheinend mit falschen Identitäten registriert wurden. Die Adressen, die dort teilweise angegeben wurden, die gibt es entweder nicht, oder hinter diesen Adressen verstecken sich dann zum Beispiel Hotels, aber keine konkreten Personen.
Das Gefährliche ist dann eben, dass das Programm mit einem Microsoft-Zertifikat in erster Linie vertrauenswürdig aussieht. Wie das wirklich im einzelnen passiert ist, und was dahinter steckt, das wird sich in den nächsten Tagen aufklären.