Moskau/Ingolstadt, 4. Juli 2011 - Kaspersky Lab warnt vor dem Schadprogramm TDSS und dem damit verbundenen Botnetz TDL-4. Das Gefährliche daran: TDSS ist sehr komplex und raffiniert aufgebaut. Das aus TDSS-infizierten Rechnern bestehende Botnetz TDL-4 ist laut Kaspersky-Experten so gut wie nicht zu zerstören. Dies geht aus einer aktuellen Analyse von Kaspersky Lab hervor [1].

Aktuell gehören Schadprogramme wie TDSS [2] beziehungsweise TDL zu den gefährlichsten Waffen der Cyberkriminellen. Die Rootkit-Komponente und andere TDL-Ressourcen ermöglichen Kriminellen, Botnetze zu erschaffen, die aus mehreren Millionen Computern bestehen können. Experten von Kaspersky Lab gelang es, Daten und Eigenschaften aus einem TDL-Netz zu extrahieren. Sie erfuhren so, dass das TDL-4-Botnetz derzeit mehr als 4,5 Millionen Computer weltweit umfasst, wobei die meisten infizierten Rechner mit 28 Prozent aus den USA kommen. Deutschland liegt dabei mit einem Anteil von drei Prozent auf Platz fünf der mit TDSS infizierten Computer.

TDL-4: Kriminelle investierten vermutlich 250.000 US-Dollar
Die Verbreitung von TDSS/TDL erfolgt über sogenannte Partnerprogramme. Dies bedeutet, dass die Autoren von TDDS über Dritte ihr Zombie-Netz ausbreiten. Aktuell werden auf dem Cyber-Schwarzmarkt zwischen 20 und 200 US-Dollar für die Installation von 1.000 Schadprogrammen gezahlt. Kaspersky Lab rechnet vor, dass die Cyberkriminellen für das Ausrollen des TDL-4-Botnetzes rund 250.000 US-Dollar investiert haben.

Die Verteilung der Aufgaben, die das Botnetz im Dienste seiner Betreiber ausführen soll, erfolgt über Peer-to-Peer-Technologien. Es ist also nicht mehr zwingend notwendig, zentrale C&C-Server zu betreiben, bei denen sich die einzelnen Zombie-Rechner ihre Aufgaben abholen. Allerdings gibt es auch bei TDL-4 noch C&C-Server als zweiten Kommunikationskanal, über den vermutlich schnelle Operationen durchgeführt werden sollen. Zudem versteckt sich TDSS/TDL vor Antiviren-Produkten, ändert sich fortlaufend, nutzt Rootkits für 64-Bit-Systeme sowie Exploits aus dem Stuxnet-Arsenal.

„Wir gehen davon aus, dass die Entwicklung von TDSS weiter vorangetrieben wird", bilanziert Sergey Golovanov, Malware-Experte bei Kaspersky Lab. „Mit Malware und Botnetzen, die infizierte Computer miteinander verbinden, werden sowohl Nutzer als auch IT-Sicherheitsexperten künftig zu kämpfen haben. Das Schadprogramm TDSS ist technologisch hochentwickelt und daher sehr schwer zu analysieren. Das daraus entstandene dezentrale, serverlose TDL-4-Botnetz ist - ähnlich wie Kido/Conficker - praktisch unzerstörbar."

[1] Die Analyse „TDL-4 - der Super-Bot" ist verfügbar unter www.viruslist.de

[2] Zum gegenwärtigen Zeitpunkt zählt das von Kaspersky Lab als TDSS klassifizierte Schadprogramm zu den kompliziertesten Schädlingen überhaupt. TDSS verwendet verschiedene Methoden, um die signaturbasierte, heuristische und proaktive Erkennung zu umgehen. Zudem verschlüsselt das Programm die Kommunikation zwischen einem Bot-Rechner sowie dem Steuerungszentrum des Zombie-Netzes und verfügt über eine leistungsstarke Rootkit-Komponente, die es ermöglicht, beliebige andere Schadprogramme im System zu verbergen. Der Name, der diesem Programm von seinen Autoren gegeben wurde, lautet TDL. Seit seinem Erscheinen im Jahr 2008 verbessern die Virenschreiber den Schädling fortwährend. Im Jahr 2010 war die Version TDL-3 aktuell, die Kaspersky Lab im Sommer 2010 ausführlich beschrieben hat (http://www.securelist.com/en/analysis/204792131/TDSS).

Quelle