Technik
In einem Botnetz werden tausende Computer zusammengeschlossen, die Cyberkriminelle über Trojaner unter ihre Kontrolle gebracht haben.
In einem Botnetz werden tausende Computer zusammengeschlossen, die Cyberkriminelle über Trojaner unter ihre Kontrolle gebracht haben.(Foto: Gunnar Assmy - Fotolia)
Montag, 04. Juli 2011

Gut getarnt, aber nicht unzerstörbar: Warnung vor Super-Botnetz

Sicherheitsexperten beobachten besorgt die Ausbreitung eines gewaltigen Botnetzes. Es umfasst bereits etwa 4,5 Millionen Zombie-Rechner, wovon rund 150.000 in Deutschland stehen sollen. "TDL-4" wird dezentral gesteuert und setzt für seine Verbreitung einen hochentwickelten Trojaner ein, der fast nicht zu entdecken ist.

Malware-Experten des Antiviren-Software-Herstellers Kaspersky haben ein Botnetz analysiert, das für die Sicherheit von Internet-Nutzern weltweit eine große Bedrohung ist. Es verbreitet sich über einen äußerst raffinierten Trojaner. Er nistet sich im sogenannten Master Boot Record (MBR) ein und greift an, bevor das Betriebssystem gestartet wird. Damit ist er für herkömmliche Antiviren-Programme nicht zu finden. Der Schädling sucht und beseitigt sogar andere Malware. So will er verhindern, dass er auffliegt, wenn die Konkurrenz entdeckt wird.

Laut Kaspersky-Analyse umfasst TDL-4 derzeit mehr als 4,5 Millionen Computer weltweit. Die meisten infizierten Rechner stehen mit 28 Prozent in den USA. Deutschland liegt mit einem Anteil von drei Prozent auf Platz 5.

Gangster investieren 250.000 Dollar

Die Verbreitung des Botnetzes erfolgt über sogenannte Partnerprogramme. Aktuell werden auf dem Cyber-Schwarzmarkt zwischen 20 und 200 US-Dollar für die Installation von 1000 Schadprogrammen gezahlt. Laut Kaspersky-Rechnung haben die Cyberkriminellen für das Ausrollen des TDL-4-Botnetzes rund 250.000 US-Dollar investiert.

Paul Ducklin, Experte beim Sicherheitsanbieter Sophos, schreibt in einem Blogeintrag, dass der Source-Code selbst nicht gehandelt werde. TDL-Botnetze würden vermietet. Malware sei heutzutage ein Service.

TDL-4 kann auf befallenen Computern eine Vielzahl von Schadprogrammen installieren. Dazu gehören Tools, die Kreditkartennummern oder Bankdaten ausspionieren. Oft dienen die TDL-4-Bots auch als "Spamschleudern".

Das Botnetz wird nur teilweise über zentrale Server gesteuert. Hauptsächlich verteilen die Strippenzieher ihre Befehle an das Botnetz über eine Peer-to-Peer-Technologie, bei der das Netzwerk selbst als Ressource dient. Außerdem sind die Befehle, die von Rechner zu Rechner weitergeleitet werden, sehr gut verschlüsselt. "Das dezentrale, serverlose TDL-4-Botnetz ist praktisch unzerstörbar", sagt Kaspersky-Experte Sergey Golovanov.

"Unzerstörbar gibt's nicht"

Sophos-Experte Paul Ducklin sieht die Lage allerdings etwas entspannter. Natürlich seien die TDL-Rootkits besonders trickreich. Unzerstörbar sei das Botnetz deswegen aber ganz sicher nicht. "Man kann keinen Virus schreiben, der alle Anti-Virus-Programme ausschaltet", schreibt er. Ein gutes, aktuell gehaltenes Schutzprogramm könne mit einer TDL-4-Infektion fertigwerden, ist er überzeugt. Nutzer sollten außerdem möglichst nicht mit Administratorrechten ins Internet gehen. Denn dann könne TDL-4 im MBR gar nicht erst aktiv werden.

Wer seinen Rechner auf Rootkits überprüfen möchte, muss dafür kein Geld ausgeben: Sophos bietet einen kostenlosen Rootkit-Scanner an und bei Kaspersky gibt's gratis den TDSSKiller. Ebenfalls kostenlos ist Aviras AntiVir Rescue System.

Quelle: n-tv.de

Empfehlungen