TDL-4: Fast unzerstörbares Botnetz entdeckt
Dieser Artikel ist älter als ein Jahr!
Das Botnetz basiert auf einem Trojaner, der durch Sicherheitstools nur sehr schwer zu entdecken ist, weil es den Master Boot Record (MBR) am PC infiziert. Es installiert dort ein Rootkit. Der Sicherheitsforscher Sergey Golvanov von Kaspersky Labs veröffentlichte am Montag eine detaillierte Analyse zu TDL-4. "TDL-4 ist praktisch unzerstörbar", so der Experte. Auch andere Sicherheitsexperten stimmen dieser Meinung zu. So sagt auch der Leiter der Malware-Forschungsabteilung bei Dell SecureWorks, Joe Stewart, zur Computerworld, dass TDL-4 einen guten Job darin mache, sich selbst zu erhalten.
Über vier Millionen Windows-Rechner sind bereits in die Botnetz-Infrastruktur integriert. Die Verteilung von Aufgaben, die das Botnetz für die Betreiber ausführen soll, erfolgt über ein öffentliches Peer-to-Peer-Netzwerk. Das ist mit ein Grund, warum es sich so schwer abdrehen lässt. "Jedes Mal wenn man es vom Netz nimmt, legt es die Latte noch höher", so ein Experte von Kaspersky Labs. Zudem ist ein eigenes Kryptographie-Verfahren in den Trojaner integriert, der verhindern soll, dass das Botnetz in die Hände anderer Kriminelle fallen soll und von diesen verändert werden kann.
Die Macher von TDL-4 nutzen das Botnetz dazu, zusätzliche Malware auf den infizierten Rechnern zu installieren, um damit in Folge Denial-of-Service (DDoS)-Attacken durchführen zu können, oder Spam- oder Phishing-Kampagnen zu platzieren. Laut Kaspersky seien auf den betroffenen Rechnern fast 30 Malware-Programme zu finden. "TDL-4 ist sehr schwierig zu entfernen", so Stewart von Dell SecureWorks. "Es ist definitiv eines der anspruchsvollsten Botnetze, die es gibt."
Kommentare