1. Juli 2011, 21:45 Uhr
Versenden
Drucken
Schrift: A A A stern.de
Gefährliches Bot-Netzwerk TDL-4: "Es ist praktisch unzerstörbar"
Mehr als vier Millionen PCs sind bereits infiziert, davon knapp 150.000
in Deutschland. Sicherheitsexperten warnen vor einer neuen
Schadsoftware, die sich extrem gut tarnt und sehr gefährlich ist. Einige
halten sie sogar für unzerstörbar. Von Christoph Fröhlich
Die Malware TDL-4 ist eines besonders ausgeklügelte Schadsoftware© Frank
Rumpenhorst/DPA
Der Sicherheits-Experte Sergey Golovanov hat schon viele gefährliche
Programme gesehen. Er arbeitet für das russische Software-Unternehmen
Kaspersky Lab, einem der Marktführer für Sicherheitssoftware wie
Firewalls und Antiviren-Programme. Doch die aktuelle Malware (zu deutsch
"Schadsoftware") namens TDL-4, die Rechner infiziert und in
Bot-Netzwerken für kriminelle Machenschaften versammelt, hat auch ihn
beeindruckt: "Im Moment ist TDL-4 die größte Bedrohung im Internet. Das
Bot-Netzwerk ist praktisch unzerstörbar", lautet das Fazit seines
Berichts.
Was verbirgt sich hinter TDL-4?
Hinter dem Kürzel TDL-4 verbirgt sich eine besonders ausgeklügelte
Schadsoftware. Es ist bereits die vierte Version der gefährlichen
TDL-Reihe. Sie versteckt sich anders als ihre Vorgänger nicht auf dem
Rechner, sondern im sogenannten Master-Boot-Record (MBR). Das ist der
erste Datenblock einer Festplatte, der noch vor dem eigentlichen
Betriebssystem geladen wird. Damit ist die Malware unsichtbar für
aktuelle Antiviren-Programme. Hat sie sich einmal eingenistet, wird der
Rechner Teil eines weltumspannenden Bot-Netzwerks.
Was ist ein Bot-Netzwerk?
Bei einem Bot-Netzwerk werden fremde Computer unbemerkt mit einer Art
Trojaner infiziert, der den Rechner anschließend "versklavt". Experten
bezeichnen diese Rechner als "Zombie", "Drohne" oder schlichtweg als
Bot, die Kurzfassung von "Robot". Die infizierten Computer vernetzen
sich untereinander und werden von einem zentralen Computer, dem
Kommando-Server, ferngesteuert. Je mehr Computer sich zusammenschließen,
desto größer ist die Schlagkraft des Netzwerks. Sind genügend Rechner
infiziert, reicht ein Befehl des Besitzers, um alle Computer angreifen
zu lassen.
Die Besitzer von Bot-Netzwerken führen die Angriffe selten persönlich
aus, die meisten vermieten ihre "Zombie-Armee" an andere Kriminelle. Je
größer das Gefahrenpotential des Netzwerks, desto höher ist der Preis.
Deshalb versuchen die Besitzer, so viele Rechner wie möglich unter ihre
Kontrolle zu bringen. Laut Kaspersky zahlen die Betreiber von TDL-4
zwischen 20 und 200 Dollar für 1000 Neuinfektionen, je nach Standort der
Computer. Besonders wertvoll sind Rechner in Westeuropa und den USA.
Was unterscheidet TDL-4 von anderen Bot-Netzwerken?
Erst im April sorgte die Abschaltung des Coreflood-Netzwerks für
Aufsehen. Die Betreiber spähten mit ihren Computerklaven die
Online-Banking-Zugänge von ahnungslosen Nutzern aus und erbeuteten mehr
als 100 Millionen Dollar. Das FBI konnte nach jahrelangen Ermittlungen
die Kommando-Server ausfindig machen und beschlagnahmen. Nur so können
die kriminellen Computer-Armeen ausgeschaltet werden. Denn ohne den
Hauptcomputer erhalten die Bots keine Befehle, sie werden wirkungslos.
Doch dieses Vorgehen ist bei TDL-4 nicht möglich. Das Problem: Die
Malware funktioniert dezentral, sie benötigt keinen Kommando-Server, um
ihre Befehle zu verbreiten. Stattdessen nutzt sie eine sogenannte
Peer-to-Peer-Verbindung zwischen den einzelnen Rechnern, die auch bei
Tauschbörsen eingesetzt wird. Hier verbinden sich die Rechner
gleichberechtigt untereinander und tauschen sich unbemerkt aus. "Die Art
und Weise, wie Peer-to-Peer für TDL-4 genutzt wird, macht es unglaublich
schwer, dieses Botnetz abzuschalten", sagt Kasperskys
Sicherheitsverantwortlicher Roel Schouwenberg dem Technik-Blog Gizmodo.
Zwar existieren Kommando-Server als zusätzliche Kommunikationskanäle, um
die Anweisungen schneller zu verbreiten - im Notfall kann das
Bot-Netzwerk aber eigenständig weiterarbeiten. "Jeder Versuch, das
Netzwerk abzuschalten, kann von der TDL-Gruppe umgangen werden. Da sie
zwei verschiedene Kanäle nutzen, wird ein Eingreifen sehr, sehr
schwierig", sagt Schouwenberg.
Warum ist die Malware so gefährlich?
Ist ein Computer mit TDL-4 infiziert, lädt der Trojaner bis zu 30
weitere Schadprogramme herunter. Einige davon spionieren Bank- und
Kreditkartendaten aus, andere verschicken Spam-Mails oder versuchen den
Nutzer mit Falschmeldungen einzuschüchtern. Mittlerweile sind rund 4,5
Millionen PCs mit dem gefährlichen Trojaner infiziert, wie Kasperskys
Virus-Analyst Stefan Ortloff bestätigt. Rund ein Viertel der infizierten
Rechner steht in den USA, in Deutschland sind knapp 150.000 Computer
betroffen, und die Zahl der Neuinfektionen täglich, wie Ortloff betont.
Vor allem die raffinierte Tarnung sorgt für eine schnelle Verbreitung:
Während die Nutzer ahnungslos an ihrem PC arbeiten, bleiben die
Schadprogramme unsichtbar im Hintergrund.
"Ich würde nicht sagen, dass ein TDL-4 Botnetz vollkommen unzerstörbar
ist, aber es ist ziemlich unzerstörbar. Es ist sehr gut darin, sich
selbst am Leben zu erhalten", sagt Joe Stewart, Leiter der
Malware-Forschungsabteilung bei Dell SecureWork dem Technik-Magazin
Dailytech. Stewart gilt als Experte für Bot-Netwerke. Denn nicht nur der
dezentrale Aufbau macht das Netzwerk unangreifbar, sondern auch die
komplexe Verschlüsselung der Befehle. Selbst wenn es die Polizei
schafft, sich in das Netzwerk einzuklinken, sind die Befehle gut vor
fremden Zugriffen geschützt. Die Befehle sind so verschlüsselt, dass nur
der Urheber darauf zugreifen kann. Mit Peer-to-Peer-Verbindungen können
sie die Malware auch jederzeit updaten.
Wie kann man sich schützen?
Ein Computer wird nur durch einen Befall von Viren, Trojanern oder
anderer Schadsoftware in ein Bot-Netzwerk eingebunden. Um sich gegen die
Schädlinge zu schützen, sollten eine aktuelle Antiviren-Software und
eine Firewall auf dem Rechner installiert sein. Die meisten Bedrohungen
aus dem Netz prallen dann wirkungslos an den Schutzmechanismen ab.
Allerdings gilt im Fall von TDL-4 erhöhte Vorsicht: Software wie das
weitverbreitete Antivir sind gegen die neue Version noch machtlos. Nur
Version 1 bis 3 werden von der Software erkannt, die vierte entzieht
sich bisher den Blicken. Updates hat der Ersteller gegenüber stern.de
angekündigt.
Sollte der Rechner bereits infiziert sein, empfiehlt Stefan Ortloff eine
Neuinstallation von Windows: "Zunächst sollte man den Rechner mit einer
Boot-CD oder einen Boot-USB-Stick starten, um den Master-Boot-Record zu
umgehen, indem sich die Malware befindet. Anschließend sollte Windows
neu installiert werden." Die Daten können beim Start von einer Boot-CD
aber noch gesichert werden. Sicherheitshalber sollten die aber auf einem
sauberen System von einer Antiviren-Software überprüft werden.
Das TDL-4 unbesiegbar ist, bezweifelt auch Roger Grimes von Infoworld
Today: "Seit 24 Jahren kämpfe ich gegen Schadsoftware, und ich kann mit
absoluter Sicherheit sagen, dass es keine Bedrohung gibt, die nicht in
den Griff zu kriegen ist. Es kann Monate dauern, sogar Jahre, aber am
Ende werden die Guten gewinnen."