Sicherheitsforscher entdeckten vor kurzem ein neues Botnet. Dieses weist gegenüber älteren Botnets eine massiv verbesserte technische Beschaffenheit auf und ist nach Ansicht vieler Experten „praktisch unzerstörbar“. Das als „TDL-4“ bezeichnete Botnet hat bereits über vier Millionen Windows-PCs infiziert.
Sicherheitsforscher Sergej Golovanov vom Unternehmen Kaspersky Labs erklärte, TDL-4 sei „die am höchsten entwickelte Bedrohung momentan“ und „praktisch unzerstörbar“. Kaspersky Labs veröffentlichte eine detaillierte Analyse des neuen Botnets. Auch andere Kaspersky-Mitarbeiter halten TDL-4 für äußerst hochentwickelt und widerstandsfähig.
Der Einschätzung des russischen Unternehms schließen sich andere Experten an. „Ich würde nicht sagen, dass es vollkommen unzerstörbar ist, aber es ist ziemlich unzerstörbar,“ sagte etwa Joe Stewart, Leiter der Malware-Forschungsabteilung bei Dell SecureWorks. Stewart gilt als Experte für Botnets. Er ergänzte, TDL-4 sei „gut darin, sich selbst zu erhalten“.
Die beiden Sicherheitsforscher begründen ihre Meinung mit mehreren Eigenschaften des TDL-4-Botnets. Die Kombination dieser Eigenschaften mache es sehr schwer, TDL-4 zu erkennen, entfernen oder an der weiteren Ausbreitung zu hindern. So infiziert TDL-4 den Master Boot Record (MBR) des betroffenen Datenträgers mit einem Rootkit, durch das der zugehörige Schadcode vor dem Betriebssystem und eventueller sicherheitssoftware versteckt wird (weswegen Microsoft im Falle einer Infektion mindestens eine komplette Systemwiederherstellung und das Überschreiben des MBR empfiehlt, gulli:News berichtete). Für noch problematischer halten die Sicherheitsforscher aber die von TDL-4 verwendete Mischung aus hochentwickelten Verschlüsselungstechnologien und der Nutzung des öffentlichen Peer-to-Peer-Netzwerkes „Kad“ für das Verschicken von Befehlen an die infizierten „Zombies“. Außerdem kann TDL-4 bereits auf dem System vorhandene Malware – darunter den verbreiteten Online-Banking-Trojaner „ZeuS“ – deaktivieren.
Der von TDL-4 verwendete Verschlüsselungs-Algorithmus wurde allem Anschein nach von den Betreibern des Botnets selbst entwickelt. Als Key werden die Domains der Command-and-Control-Server des Botnets verwendet. Neu ist auch die Art und Weise, wie TDL-4 die Peer-to-Peer-Technologie verwendet. Per P2P kommunizierende Botnets sind zwar nichts Neues, sondern schon seit einigen Jahren bekannt. Bisher verwendeten die Cyberkriminellen aber geschlossene P2P-Netzwerke, die sie selbst aufgebaut hatten, zur Kommunikation. Die Nutzung eines öffentlichen Netzwerkes als Backup-Kommunikationsmedium erschwert einen Takedown des Botnets erheblich. Nehmen Sicherheitsexperten die Command-and-Control-Server des Botnets vom Netz, können die Betreiber per Kad eine Liste neuer Server herumschicken und so das Botnet weiter betreiben.
TDL-4 wird von den Betreibern für verschiedene Zwecke benutzt. Einer davon sind die üblichen DDoS-Attacken, für die das Botnet vermietet wird. Daneben kann TDL-4 aber auch beliebige andere Malware installieren – entweder auf Anweisung der Betreiber selbst oder, indem das Botnet für diesen Zweck vermietet wird. Da sich TDL-4 nach diesen Aktionen nicht löscht, bleibt es auf dem System und kann die andere Malware jederzeit wieder entfernen, wenn dies den Zielen der Betreiber dient.
Quelle : buntspecht @ twitter // http://www.gulli.com/news/16481-tdl-4-neues-botnet-ist-praktisch-unzerstoerbar–30-06-2011