Startseite

"Es ist praktisch unzerstörbar"

Mehr als vier Millionen PCs sind bereits infiziert, davon knapp 150.000 in Deutschland. Sicherheitsexperten warnen vor einer neuen Schadsoftware, die sich extrem gut tarnt und sehr gefährlich ist. Einige halten sie sogar für unzerstörbar.

Von Christoph Fröhlich

  Die Malware TDL-4 ist eines besonders ausgeklügelte Schadsoftware

Die Malware TDL-4 ist eines besonders ausgeklügelte Schadsoftware

Der Sicherheits-Experte Sergey Golovanov hat schon viele gefährliche Programme gesehen. Er arbeitet für das russische Software-Unternehmen Kaspersky Lab, einem der Marktführer für Sicherheitssoftware wie Firewalls und Antiviren-Programme. Doch die aktuelle Malware (zu deutsch "Schadsoftware") namens TDL-4, die Rechner infiziert und in Bot-Netzwerken für kriminelle Machenschaften versammelt, hat auch ihn beeindruckt: "Im Moment ist TDL-4 die größte Bedrohung im Internet. Das Bot-Netzwerk ist praktisch unzerstörbar", lautet das Fazit seines Berichts.

Was verbirgt sich hinter TDL-4?

Hinter dem Kürzel TDL-4 verbirgt sich eine besonders ausgeklügelte Schadsoftware. Es ist bereits die vierte Version der gefährlichen TDL-Reihe. Sie versteckt sich anders als ihre Vorgänger nicht auf dem Rechner, sondern im sogenannten Master-Boot-Record (MBR). Das ist der erste Datenblock einer Festplatte, der noch vor dem eigentlichen Betriebssystem geladen wird. Damit ist die Malware unsichtbar für aktuelle Antiviren-Programme. Hat sie sich einmal eingenistet, wird der Rechner Teil eines weltumspannenden Bot-Netzwerks.

Was ist ein Bot-Netzwerk?

Bei einem Bot-Netzwerk werden fremde Computer unbemerkt mit einer Art Trojaner infiziert, der den Rechner anschließend "versklavt". Experten bezeichnen diese Rechner als "Zombie", "Drohne" oder schlichtweg als Bot, die Kurzfassung von "Robot". Die infizierten Computer vernetzen sich untereinander und werden von einem zentralen Computer, dem Kommando-Server, ferngesteuert. Je mehr Computer sich zusammenschließen, desto größer ist die Schlagkraft des Netzwerks. Sind genügend Rechner infiziert, reicht ein Befehl des Besitzers, um alle Computer angreifen zu lassen.

Die Besitzer von Bot-Netzwerken führen die Angriffe selten persönlich aus, die meisten vermieten ihre "Zombie-Armee" an andere Kriminelle. Je größer das Gefahrenpotential des Netzwerks, desto höher ist der Preis. Deshalb versuchen die Besitzer, so viele Rechner wie möglich unter ihre Kontrolle zu bringen. Laut Kaspersky zahlen die Betreiber von TDL-4 zwischen 20 und 200 Dollar für 1000 Neuinfektionen, je nach Standort der Computer. Besonders wertvoll sind Rechner in Westeuropa und den USA.

Was unterscheidet TDL-4 von anderen Bot-Netzwerken?

Erst im April sorgte die Abschaltung des Coreflood-Netzwerks für Aufsehen. Die Betreiber spähten mit ihren Computerklaven die Online-Banking-Zugänge von ahnungslosen Nutzern aus und erbeuteten mehr als 100 Millionen Dollar. Das FBI konnte nach jahrelangen Ermittlungen die Kommando-Server ausfindig machen und beschlagnahmen. Nur so können die kriminellen Computer-Armeen ausgeschaltet werden. Denn ohne den Hauptcomputer erhalten die Bots keine Befehle, sie werden wirkungslos.

Doch dieses Vorgehen ist bei TDL-4 nicht möglich. Das Problem: Die Malware funktioniert dezentral, sie benötigt keinen Kommando-Server, um ihre Befehle zu verbreiten. Stattdessen nutzt sie eine sogenannte Peer-to-Peer-Verbindung zwischen den einzelnen Rechnern, die auch bei Tauschbörsen eingesetzt wird. Hier verbinden sich die Rechner gleichberechtigt untereinander und tauschen sich unbemerkt aus. "Die Art und Weise, wie Peer-to-Peer für TDL-4 genutzt wird, macht es unglaublich schwer, dieses Botnetz abzuschalten", sagt Kasperskys Sicherheitsverantwortlicher Roel Schouwenberg dem Technik-Blog Gizmodo. Zwar existieren Kommando-Server als zusätzliche Kommunikationskanäle, um die Anweisungen schneller zu verbreiten - im Notfall kann das Bot-Netzwerk aber eigenständig weiterarbeiten. "Jeder Versuch, das Netzwerk abzuschalten, kann von der TDL-Gruppe umgangen werden. Da sie zwei verschiedene Kanäle nutzen, wird ein Eingreifen sehr, sehr schwierig", sagt Schouwenberg.

Warum ist die Malware so gefährlich?

Ist ein Computer mit TDL-4 infiziert, lädt der Trojaner bis zu 30 weitere Schadprogramme herunter. Einige davon spionieren Bank- und Kreditkartendaten aus, andere verschicken Spam-Mails oder versuchen den Nutzer mit Falschmeldungen einzuschüchtern. Mittlerweile sind rund 4,5 Millionen PCs mit dem gefährlichen Trojaner infiziert, wie Kasperskys Virus-Analyst Stefan Ortloff bestätigt. Rund ein Viertel der infizierten Rechner steht in den USA, in Deutschland sind knapp 150.000 Computer betroffen, und die Zahl der Neuinfektionen täglich, wie Ortloff betont. Vor allem die raffinierte Tarnung sorgt für eine schnelle Verbreitung: Während die Nutzer ahnungslos an ihrem PC arbeiten, bleiben die Schadprogramme unsichtbar im Hintergrund.

"Ich würde nicht sagen, dass ein TDL-4 Botnetz vollkommen unzerstörbar ist, aber es ist ziemlich unzerstörbar. Es ist sehr gut darin, sich selbst am Leben zu erhalten", sagt Joe Stewart, Leiter der Malware-Forschungsabteilung bei Dell SecureWork dem Technik-Magazin Dailytech. Stewart gilt als Experte für Bot-Netwerke. Denn nicht nur der dezentrale Aufbau macht das Netzwerk unangreifbar, sondern auch die komplexe Verschlüsselung der Befehle. Selbst wenn es die Polizei schafft, sich in das Netzwerk einzuklinken, sind die Befehle gut vor fremden Zugriffen geschützt. Die Befehle sind so verschlüsselt, dass nur der Urheber darauf zugreifen kann. Mit Peer-to-Peer-Verbindungen können sie die Malware auch jederzeit updaten.

Wie kann man sich schützen?

Ein Computer wird nur durch einen Befall von Viren, Trojanern oder anderer Schadsoftware in ein Bot-Netzwerk eingebunden. Um sich gegen die Schädlinge zu schützen, sollten eine aktuelle Antiviren-Software und eine Firewall auf dem Rechner installiert sein. Die meisten Bedrohungen aus dem Netz prallen dann wirkungslos an den Schutzmechanismen ab. Allerdings gilt im Fall von TDL-4 erhöhte Vorsicht: Software wie das weitverbreitete Antivir sind gegen die neue Version noch machtlos. Nur Version 1 bis 3 werden von der Software erkannt, die vierte entzieht sich bisher den Blicken. Updates hat der Ersteller gegenüber stern.de angekündigt.

Sollte der Rechner bereits infiziert sein, empfiehlt Stefan Ortloff eine Neuinstallation von Windows: "Zunächst sollte man den Rechner mit einer Boot-CD oder einen Boot-USB-Stick starten, um den Master-Boot-Record zu umgehen, indem sich die Malware befindet. Anschließend sollte Windows neu installiert werden." Die Daten können beim Start von einer Boot-CD aber noch gesichert werden. Sicherheitshalber sollten die aber auf einem sauberen System von einer Antiviren-Software überprüft werden.

Das TDL-4 unbesiegbar ist, bezweifelt auch Roger Grimes von Infoworld Today: "Seit 24 Jahren kämpfe ich gegen Schadsoftware, und ich kann mit absoluter Sicherheit sagen, dass es keine Bedrohung gibt, die nicht in den Griff zu kriegen ist. Es kann Monate dauern, sogar Jahre, aber am Ende werden die Guten gewinnen."

Stern Logo Das könnte Sie auch interessieren

Zu hohe Inkassogebühren, rechtens?
Hallo, ich habe am 20 März 15 einen Vertrag über 12 Monate mit einem Fitness-Studio abgeschlossen. Die Kosten (9,98 € 14-Tägig, 39,99€ Verwaltung einmalig, 19,99 Trainer und Servicepauschale Jährlich) sollten per Einzugsermächtigung abgebucht werden. Kürzlich bekam ich überraschend einen Brief von einem Inkassobüro mit der Zahlungsaufforderung für die gesamten 12 Monate inkl. der Verwaltung und Servicepauschale + Auslagen des Gläubigers (63,38€), Zinsen (1,42€), Geschäftsgebühr (45€), Auskunftskosten (5€) , Auslagenpauschale (9€) Hauptforderung 320,28€ Offene Forderung 444,08€ Nach dem ich mich bei der Firma erkundet habe, sagten sie mir, dass Zahlung zurückgegangen ist da mein Konto nicht gedeckt sei. Fakt war das sie einen Zahhlendreher in der Kontonummer hatten obwohl im meinem Durchschlag die Richtige Kontonummer angegeben wurde. Aber im Original hat jemand aus einer 3 eine 8 geändert. Nach Überprüfung konnte ich Feststellen das es diese Kontonummer gar nicht gibt und das diese vom System gar nicht angenommen wird. Spätestens da hätte man mich doch hinweisen oder fragen können was mit dem Konto sei. Es kam nie ein zu einem Zahhlungsrückgang, noch zu einer Zahlungserinnerung Mahnung seitens des Fitnessstudios. Die AGB´s habe ich nie zu Gesicht nie bekommen und auch nicht gelesen - diese stehen (nach meiner Recherche) im Internet aber auch nicht definiert wie man in Zahlungsverzug kommt. Leider habe ich unterschrieben das sie mir bekannt sind. Dies steht ganz kleingedruckt im Durchschlag. Ich habe der Firma vorgeschlagen die offenen Beiträge bis jetzt zu bezahlen und für die Zukunft eine neue Einzugsermächtigung zu erteilen, was sie aber abgelehnt haben und mir gesagt haben ich soll dies mit dem Inkassobüro klären. Der Fitnessvertrag ist somit gesperrt seit einem Monat. Da ich aber mit den Gebühren, Mahnspesen von dem Inkassobüro nicht einverstanden bin weiß ich nicht ob ich diese bezahlen muss. Ich habe dem Inkassobüro auch vorgeschlagen die offenen Beiträge zu begleichen und diese dann wie vertraglich vereinbart abgebucht werden. Sie haben mir angeboten diese in einem Jahr zu einem monatlichen Beitrag von 35€ abzuzahlen. Dies währen Mehrkosten von 100€, ist das rechtens? Bitte Antworten sie mir in einer Sprache die ich auch versteh - mit langen Gesetzestexten kann ich leider nicht umgehen Und was Sie denken was ich tun soll was rechtens ist. Vielen Dank im Voraus

Partner-Tools