Spamflut droht durch neue Zombie-Rechner

Alles ist relativ. Auch wenn die Experten der Computersicherheitsfirma Symantec seit Monaten einen stetigen Rückgang von Spam-Mails beobachten, liegt der Prozentanteil von unerwünschten Werbebotschaften unter allen versandten E-Mails noch immer bei 72,9 Prozent. In Österreich gar bei 73,5 Prozent. Dennoch befindet sich die illegale Spam-Wirtschaft auf dem niedrigsten Wert seit Ende 2008 – damals beschäftigten sich noch ca. 90 Prozent aller Mails mit Viagra, billigen Uhren und Diättabletten.

Verantwortlich für die eingedämmte Werbeflut war vor allem der Schlag gegen eine der größten Spamschleudern weltweit, das „

“. Seither regierte die Zuversicht auf Seiten der Sicherheitsexperten. Doch nun haben sie eine Bedrohung entdeckt, mit dem nicht nur ein neuerlicher Anstieg der Spam-Mails zu erwarten ist, sondern auch eine Reihe anderer Aktivitäten von Cyberkriminellen.

Verkaufter Trojaner
Die Rede ist von einem Trojaner, dem die Beobachter den Namen „

“ gaben. TDL-4 ist der Nachfolger des höchst erfolgreichen TDL-3, der fremde Rechner serienweise infizierte, ohne dass die meisten Nutzer etwas davon merkten. Diese PCs konnten zu einem Botnetz zusammengeschlossen und ferngesteuert werden – und dienten so etwa als Spam-Postamt oder für Attacken auf andere Rechnersysteme.

In ihrer spannenden Analyse beschreiben die beiden Mitarbeiter Sergey Golovanov und Igor Soumenkov des Sicherheitsunternehmens Kaspersky, wie Ihnen auffiel, dass TDL-3 einen gefährlichen Nachfolger erhalten würde. Denn bei Ihren Beobachtungen von infizierten Rechnern stellten Sie fest, dass der Quellcode von TDL-3 modifiziert worden war. Ein Indiz dafür, dass die Urheber des Trojaners den Quellcode offenbar an andere Cyberkriminelle verkauft hatten – anscheinend hatten sie schon eine neue, bessere Waffe im Angebot.

Unsterblicher TDL-4
TDL-4 installiert sich, wie schon sein Vorgänger, über Webseiten, die man besser nicht besuchen sollte. Die Betreiber dieser Seiten erhalten zwischen 20 und 200 Dollar für 1.000 PCs. Kaspersky nennt Porno-Sites oder Webangebote für illegalen Content als Hauptverteilzentren von TDL-4.

Der Trojaner bringt einige teuflische Neuerungen mit sich, die manche Analysten dazu veranlasst haben, ihn als „unsterblich“ zu qualifizieren. Da wäre einerseits die noch stärker verschlüsselte Kommunikation zwischen dem Trojaner und seinem Botnetz, sodass nur die Urheber, nicht aber andere Cyberkriminelle die fremden Rechner kontrollieren können. Zudem schützt sich TDL-4 vor der Konkurrenz, indem er sich schon beim Bootvorgang des Rechners lädt und alle möglichen anderen Schadprogramme abstellt und entfernt.

Die Kaspersky-Spezialisten waren aber vor allem von einer neuen Eigenschaft des Trojaners beeindruckt: Er benutzt nun ein öffentliches P2P-Netzwerk, um sich zu verständigen und neue Kommandos zu empfangen. Diese Netzwerk mit dem Namen „Kad“ wird schon seit langer Zeit von Internet-Usern verwendet, um gegenseitig Dateien auszutauschen. Der Vorteil von einem Peer-to-peer-Netz für die Trojaner-Entwickler liegt auf der Hand, denn dieses dezentrale Netz kann nicht einfach abgeschaltet werden, da ein zentraler Server gar nicht vorhanden ist.

Gutes Geschäft
Dieses Charakteristikum hat Golovanov und Soumenkov dazu verleitet, in ihrer Analyse von einem „praktisch unzerstörbaren“ Botnetz zu sprechen. Dies scheint übertrieben, schließlich können auch P2P-Netzwerke von Sicherheitsexperten gestört und die Cyberangreifer möglicherweise eines Tages identifiziert werden. Doch dies wird eine Weile dauern und darin liegt die eigentliche Funktion des neuen Trojaners TDL-4. Je länger man ein derartiges Botnetz betreibt, desto mehr Geld verdient man damit. Die infizierten Rechner werden an die Meistbietenden vermietet, die ihrerseits die Zombie-PCs dazu benutzen, Spam zu verschicken oder etwa Kreditkarten- und Kontodaten der betroffenen User zu stehlen. Bei derzeit geschätzten 4,5 Millionen befallenen Computern ist den Herrschern über die Trojaner ein gutes Geschäft sicher.

Mehr zum Thema

• TDL-4: Fast unzerstörbares Botnetz entdeckt