Sicherheit
Warnung vor neuem "Super-Bot"
von
Dorothee
Chlumsky - 04.07.2011
Experten warnen vor dem neuen Schadprogramm TDSS. Er ist für ein riesiges Botnetz verantwortlich, das sich so gut wie nicht zerstören lässt.
Das Botnetz TDL-4 besteht zur Zeit aus mehr als 4,5 Millionen Computern, berichten Sergej Golovanov und Igor Soumenkov von den Kaspersky Labs. Die Experten bezeichnen den TDSS-Schädling, der die infizierten PCs zu Mitgliedern des Botnetzes macht, als eines der kompliziertesten Schadprogramme überhaupt. Die Software wendet verschiedene Tricks an, um zu verhindern, dass Virenschutzprogramme sie erkennen. So infiziert sie den Master Boot Record und sorgt dafür, dass der Schädling schon in Aktion ist, bevor das Betriebssystem geladen wird. Damit macht sich die Software für die meisten Antivirenprogramme unsichtbar. Das gefährliche Programm besitzt eine Rootkit-Komponente, mit der es diverse andere Schadsoftware unerkannt im System des infizierten Rechners verbergen kann. Überdies verschlüsselt der Schädling die Kommunikation zwischen dem gekaperten Rechner und dem Kommando-Server mit einem eigens entwickelten Algorithmus.
TDSS ist auch in der Lage, gängige andere Viren vom Rechner zu löschen, damit der Besitzer nicht auf die Virenproblematik auf seinem Rechner aufmerksam wird. Hat er einen PC infiziert, lädt die Schadsoftware weitere Viren auf den PC, darunter gefälschte Antiviren-Programme oder den Spambot Pushdo. Die Kriminellen bauen überdies mit Hilfe ihres Virus ein geschlossenes P2P-Netz unter den Rechnern auf, die mit TDSS infiziert sind. So können sie beliebige Inhalte von den Rechnern laden und zwischen ihnen austauschen. Zusätzlich installiert TDSS auf dem infizierten PC einen Proxy-Server, der es möglich macht, mit dem Rechner anonym im Internet zu surfen. Damit verdienen die Kriminellen Geld, indem sie den anonymen Internetzugriff für 100 Dollar pro Monat verkaufen.
Die Schadsoftware ist bereits seit 2008 bekannt. Die Viren-Autoren haben sie stetig weiterentwickelt. 2010 war TDL-3 in Umlauf, heute ist der TDL-Trojaner bei Version 4. In den ersten drei Monaten des Jahres 2011 wurden 4,5 Millionen Rechner mit TDL-4 infiziert. Die meisten (28 Prozent) gekaperten Rechner befinden sich in den USA, weitere in Indien, Indonesien, Großbritannien und Deutschland. Die Fachleute gehen davon aus, dass die Kriminellen ihr Botnetz weiterentwickeln.
Die Schadsoftware ist bereits seit 2008 bekannt. Die Viren-Autoren haben sie stetig weiterentwickelt. 2010 war TDL-3 in Umlauf, heute ist der TDL-Trojaner bei Version 4. In den ersten drei Monaten des Jahres 2011 wurden 4,5 Millionen Rechner mit TDL-4 infiziert. Die meisten (28 Prozent) gekaperten Rechner befinden sich in den USA, weitere in Indien, Indonesien, Großbritannien und Deutschland. Die Fachleute gehen davon aus, dass die Kriminellen ihr Botnetz weiterentwickeln.
