"Es ist praktisch unzerstörbar"

1. Juli 2011, 21:45 Uhr

Mehr als vier Millionen PCs sind bereits infiziert, davon knapp 150.000 in Deutschland. Sicherheitsexperten warnen vor einer neuen Schadsoftware, die sich extrem gut tarnt und sehr gefährlich ist. Einige halten sie sogar für unzerstörbar. Von Christoph Fröhlich

TDL-4, Trojaner, Bootkit, Malware, Botnetz, Netzwerk, Kaspersky, Antivir, Virus,

Die Malware TDL-4 ist eines besonders ausgeklügelte Schadsoftware©

Der Sicherheits-Experte Sergey Golovanov hat schon viele gefährliche Programme gesehen. Er arbeitet für das russische Software-Unternehmen Kaspersky Lab, einem der Marktführer für Sicherheitssoftware wie Firewalls und Antiviren-Programme. Doch die aktuelle Malware (zu deutsch "Schadsoftware") namens TDL-4, die Rechner infiziert und in Bot-Netzwerken für kriminelle Machenschaften versammelt, hat auch ihn beeindruckt: "Im Moment ist TDL-4 die größte Bedrohung im Internet. Das Bot-Netzwerk ist praktisch unzerstörbar", lautet das Fazit seines Berichts.

Was verbirgt sich hinter TDL-4?

Hinter dem Kürzel TDL-4 verbirgt sich eine besonders ausgeklügelte Schadsoftware. Es ist bereits die vierte Version der gefährlichen TDL-Reihe. Sie versteckt sich anders als ihre Vorgänger nicht auf dem Rechner, sondern im sogenannten Master-Boot-Record (MBR). Das ist der erste Datenblock einer Festplatte, der noch vor dem eigentlichen Betriebssystem geladen wird. Damit ist die Malware unsichtbar für aktuelle Antiviren-Programme. Hat sie sich einmal eingenistet, wird der Rechner Teil eines weltumspannenden Bot-Netzwerks.

Was ist ein Bot-Netzwerk?

Bei einem Bot-Netzwerk werden fremde Computer unbemerkt mit einer Art Trojaner infiziert, der den Rechner anschließend "versklavt". Experten bezeichnen diese Rechner als "Zombie", "Drohne" oder schlichtweg als Bot, die Kurzfassung von "Robot". Die infizierten Computer vernetzen sich untereinander und werden von einem zentralen Computer, dem Kommando-Server, ferngesteuert. Je mehr Computer sich zusammenschließen, desto größer ist die Schlagkraft des Netzwerks. Sind genügend Rechner infiziert, reicht ein Befehl des Besitzers, um alle Computer angreifen zu lassen.

Die Besitzer von Bot-Netzwerken führen die Angriffe selten persönlich aus, die meisten vermieten ihre "Zombie-Armee" an andere Kriminelle. Je größer das Gefahrenpotential des Netzwerks, desto höher ist der Preis. Deshalb versuchen die Besitzer, so viele Rechner wie möglich unter ihre Kontrolle zu bringen. Laut Kaspersky zahlen die Betreiber von TDL-4 zwischen 20 und 200 Dollar für 1000 Neuinfektionen, je nach Standort der Computer. Besonders wertvoll sind Rechner in Westeuropa und den USA.

Was unterscheidet TDL-4 von anderen Bot-Netzwerken?

Erst im April sorgte die Abschaltung des Coreflood-Netzwerks für Aufsehen. Die Betreiber spähten mit ihren Computerklaven die Online-Banking-Zugänge von ahnungslosen Nutzern aus und erbeuteten mehr als 100 Millionen Dollar. Das FBI konnte nach jahrelangen Ermittlungen die Kommando-Server ausfindig machen und beschlagnahmen. Nur so können die kriminellen Computer-Armeen ausgeschaltet werden. Denn ohne den Hauptcomputer erhalten die Bots keine Befehle, sie werden wirkungslos.

Doch dieses Vorgehen ist bei TDL-4 nicht möglich. Das Problem: Die Malware funktioniert dezentral, sie benötigt keinen Kommando-Server, um ihre Befehle zu verbreiten. Stattdessen nutzt sie eine sogenannte Peer-to-Peer-Verbindung zwischen den einzelnen Rechnern, die auch bei Tauschbörsen eingesetzt wird. Hier verbinden sich die Rechner gleichberechtigt untereinander und tauschen sich unbemerkt aus. "Die Art und Weise, wie Peer-to-Peer für TDL-4 genutzt wird, macht es unglaublich schwer, dieses Botnetz abzuschalten", sagt Kasperskys Sicherheitsverantwortlicher Roel Schouwenberg dem Technik-Blog Gizmodo. Zwar existieren Kommando-Server als zusätzliche Kommunikationskanäle, um die Anweisungen schneller zu verbreiten - im Notfall kann das Bot-Netzwerk aber eigenständig weiterarbeiten. "Jeder Versuch, das Netzwerk abzuschalten, kann von der TDL-Gruppe umgangen werden. Da sie zwei verschiedene Kanäle nutzen, wird ein Eingreifen sehr, sehr schwierig", sagt Schouwenberg.

Warum ist die Malware so gefährlich?

Ist ein Computer mit TDL-4 infiziert, lädt der Trojaner bis zu 30 weitere Schadprogramme herunter. Einige davon spionieren Bank- und Kreditkartendaten aus, andere verschicken Spam-Mails oder versuchen den Nutzer mit Falschmeldungen einzuschüchtern. Mittlerweile sind rund 4,5 Millionen PCs mit dem gefährlichen Trojaner infiziert, wie Kasperskys Virus-Analyst Stefan Ortloff bestätigt. Rund ein Viertel der infizierten Rechner steht in den USA, in Deutschland sind knapp 150.000 Computer betroffen, und die Zahl der Neuinfektionen täglich, wie Ortloff betont. Vor allem die raffinierte Tarnung sorgt für eine schnelle Verbreitung: Während die Nutzer ahnungslos an ihrem PC arbeiten, bleiben die Schadprogramme unsichtbar im Hintergrund.

"Ich würde nicht sagen, dass ein TDL-4 Botnetz vollkommen unzerstörbar ist, aber es ist ziemlich unzerstörbar. Es ist sehr gut darin, sich selbst am Leben zu erhalten", sagt Joe Stewart, Leiter der Malware-Forschungsabteilung bei Dell SecureWork dem Technik-Magazin Dailytech. Stewart gilt als Experte für Bot-Netwerke. Denn nicht nur der dezentrale Aufbau macht das Netzwerk unangreifbar, sondern auch die komplexe Verschlüsselung der Befehle. Selbst wenn es die Polizei schafft, sich in das Netzwerk einzuklinken, sind die Befehle gut vor fremden Zugriffen geschützt. Die Befehle sind so verschlüsselt, dass nur der Urheber darauf zugreifen kann. Mit Peer-to-Peer-Verbindungen können sie die Malware auch jederzeit updaten.

Wie kann man sich schützen?

Ein Computer wird nur durch einen Befall von Viren, Trojanern oder anderer Schadsoftware in ein Bot-Netzwerk eingebunden. Um sich gegen die Schädlinge zu schützen, sollten eine aktuelle Antiviren-Software und eine Firewall auf dem Rechner installiert sein. Die meisten Bedrohungen aus dem Netz prallen dann wirkungslos an den Schutzmechanismen ab. Allerdings gilt im Fall von TDL-4 erhöhte Vorsicht: Software wie das weitverbreitete Antivir sind gegen die neue Version noch machtlos. Nur Version 1 bis 3 werden von der Software erkannt, die vierte entzieht sich bisher den Blicken. Updates hat der Ersteller gegenüber stern.de angekündigt.

Sollte der Rechner bereits infiziert sein, empfiehlt Stefan Ortloff eine Neuinstallation von Windows: "Zunächst sollte man den Rechner mit einer Boot-CD oder einen Boot-USB-Stick starten, um den Master-Boot-Record zu umgehen, indem sich die Malware befindet. Anschließend sollte Windows neu installiert werden." Die Daten können beim Start von einer Boot-CD aber noch gesichert werden. Sicherheitshalber sollten die aber auf einem sauberen System von einer Antiviren-Software überprüft werden.

Das TDL-4 unbesiegbar ist, bezweifelt auch Roger Grimes von Infoworld Today: "Seit 24 Jahren kämpfe ich gegen Schadsoftware, und ich kann mit absoluter Sicherheit sagen, dass es keine Bedrohung gibt, die nicht in den Griff zu kriegen ist. Es kann Monate dauern, sogar Jahre, aber am Ende werden die Guten gewinnen."

Zum Thema
Digital
Ratgeber und Extras
iPhone 6: Die nächste Smartphone-Generation iPhone 6 Die nächste Smartphone-Generation
Vergleichsrechner
Finden Sie den günstigsten DSL-Tarif Finden Sie den günstigsten DSL-Tarif Unser kostenloser DSL-Vergleich zeigt Ihnen die DSL-Tarife, die am besten zu Ihnen passen. Zum Tarifvergleich
 
Noch Fragen?

Neue Fragen aus der Wissenscommunity