Neue Bedrohung durch TDSS/TDL: Neues Botnetz mit über 4,5 Millionen infizierten Rechnern

KASPERSKY lab warnt vor dem Schadprogramm „TDSS“ und dem damit verbundenen Botnetz „TDL-4“

[datensicherheit.de, 04.07.2011] KASPERSKY lab warnt vor dem Schadprogramm „TDSS“ und dem damit verbundenen Botnetz „TDL-4“:
Das Gefährliche daran sei der sehr komplexe, raffinierte Aufbau von „TDSS“. Das aus mit „TDSS“ infizierten Rechnern bestehende Botnetz „TDL-4“ sei laut Kaspersky-Experten so gut wie nicht zu zerstören.
Aktuell gehören Schadprogramme wie „TDSS“ beziehungsweise „TDL“ zu den gefährlichsten Waffen der Cyber-Kriminellen. Die Rootkit-Komponente und andere „TDL“-Ressourcen ermöglichen Kriminellen, Botnetze zu erschaffen, die aus mehreren Millionen Computern bestehen können. Experten von KASPERSKY lab gelang es, Daten und Eigenschaften aus einem „TDL“-Netz zu extrahieren. Sie erfuhren so, dass das „TDL-4“-Botnetz derzeit mehr als 4,5 Millionen Computer weltweit umfasse, wobei die meisten infizierten Rechner mit 28 Prozent aus den USA kämen. Deutschland liege dabei mit einem Anteil von drei Prozent auf Platz fünf der mit „TDSS“ infizierten Computer.
Die Verbreitung von „TDSS/TDL“ erfolgt über sogenannte „Partnerprogramme“. Dies bedeutet, dass die Autoren von „TDDS“ über Dritte ihr Zombie-Netz ausbreiten. Aktuell würden auf dem Cyber-Schwarzmarkt zwischen 20 und 200 US-Dollar für die Installation von 1.000 Schadprogrammen gezahlt. KASPERSKY lab rechnet vor, dass die Cyber-Kriminellen für das Ausrollen des „TDL-4“-Botnetzes rund 250.000 US-Dollar investiert hätten.
Die Verteilung der Aufgaben, die das Botnetz im Dienste seiner Betreiber ausführen soll, erfolgt über Peer-to-Peer-Technologien. Es ist also nicht mehr zwingend notwendig, zentrale C&C-Server [„Command and Control“] zu betreiben, bei denen sich die einzelnen „Zombie-Rechner“ ihre Aufgaben abholen. Allerdings gibt es auch bei „TDL-4“ noch C&C-Server als zweiten Kommunikationskanal, über den vermutlich schnelle Operationen durchgeführt werden sollen. Zudem versteckt sich „TDSS/TDL“ vor Antiviren-Produkten, ändert sich fortlaufend, nutzt Rootkits für 64-Bit-Systeme sowie Exploits aus dem „Stuxnet“-Arsenal.
Sie gingen davon aus, dass die Entwicklung von „TDSS“ weiter vorangetrieben werde, bilanziert Sergey Golovanov, Malware-Experte bei KASPERSKY lab. Mit Malware und Botnetzen, die infizierte Computer miteinander verbinden, würden sowohl Nutzer als auch IT-Sicherheitsexperten künftig zu kämpfen haben. Das Schadprogramm „TDSS“ sei technologisch hoch entwickelt und daher sehr schwer zu analysieren. Das daraus entstandene dezentrale, serverlose „TDL-4“-Botnetz sei – ähnlich wie „Kido/Conficker“ – praktisch unzerstörbar.

Weitere Informationen zum Thema:

Viruslist.com
TDL-4 – der Super-Bot / TDSS in verschiedenen Versionen

SECURELIST
TDSS