Botnet TDL-4 “komplex” und “unzerstörbar”

TDSS heißt ein neues, komplexes und gleichzeitig äußerst gerissenes Schadprogramm, das laut Informationen der Sicherheitsexperten von Kaspersky Lab über 4,5 Millionen Rechner infiziert hat und diese zu dem Botnet TDL-4 zusammenfasst. TDSS ist ein Bootvirus, der bereits beim Starten des Systems aktiv wird und zudem die Windows-Registry nach anderen Schadprogrammen durchforstet und diese blockiert.

Den Experten gelang es, Daten und Eigenschaften aus einem TDL-Netz zu extrahieren. Die meisten der über ein Rootkit und anderen TDL-Ressourcen infizierten Rechner stehen in den USA. In Deutschland stehen derzeit etwa drei Prozent der weltweiten TDL-4-Zombie-Rechner.

Die Kriminellen lassen sich ein derartiges Netz auch eine Menge Geld kosten. Denn für die Verbreitung der Schadsoftware setzen sie auf ein “Partnerprogramm”. Wer auf 1000 Rechnern die Schadsoftware installieren kann, bekommt zwischen 20 und 200 Dollar. Demnach müsste das TDL-4-Netz bislang rund 250.000 US-Dollar gekostet haben.

Auch verwenden die Kriminellen in dem TDL-4-Netz zentrale Server für die Steuerung der Netze. Doch diese sind lediglich ein zweiter Kommunikationskanal. Die eigentliche Steuerung erfolgt verschlüsselt über ein dezentrales Peer-to-Peer-Netzwerk. Über die zentrale Kommunikation, so vermuten die Kaspersky-Experten, werden schnelle Operationen durchgeführt. Für Sicherheitsprogramme ist TDSS/TDL schwer zu entdecken, weil es sich fortlaufend ändert und auch Rootkits für 64-Bit-Systeme sowie Exploits aus dem Stuxnet-Arsenal verwendet.

“Wir gehen davon aus, dass die Entwicklung von TDSS weiter vorangetrieben wird”, bilanziert Sergey Golovanov, Malware-Experte bei Kaspersky Lab. “Das Schadprogramm TDSS ist technologisch hochentwickelt und daher sehr schwer zu analysieren. Das daraus entstandene dezentrale, serverlose TDL-4-Botnetz ist – ähnlich wie Kido/Conficker – praktisch unzerstörbar.”