Kaspersky warnt vor »unverwüstlichem« Botnet

TDL-4 ist die mittlerweile vierte Version des Schadprogramms TDL, das von Kaspersky als TDSS klassifiziert wird. Es wird von seinem Urhebern über ein Partnerprogramm verbreitet, bei dem die Partner zwischen 20 und 200 Dollar erhalten pro 1000 Rechner, auf denen der Bot installiert wird. Dieser nistet sich im Master Boot Record (MBR) ein, so dass er vor dem Start des Betriebssystems geladen wird und nur schwer wieder zu entfernen ist. Um keine Aufmerksamkeit zu erregen, geht er sogar soweit, andere Schadprogramme vom Rechner zu entfernen.

TDL-4 kann zwar auch über Steuerungsserver Anweisungen erhalten, doch laut Kaspersky werden diese nur als zweiter Kommunikationskanal genutzt, vermutlich um bestimmte Operationen schnell durchzuführen. Die normale Kommunikation läuft über P2P, wobei das Kad-Protokoll genutzt wird, das beispielsweise auch einige Filesharing-Programme verwenden.

Das Schadprogramm sei technologisch hoch entwickelt und schwer zu analysieren, sagte Sergey Golovanov, Malware-Experte bei Kaspersky Lab. »Das daraus entstandene dezentrale, serverlose TDL-4-Botnetz ist – ähnlich wie Kido/Conficker – praktisch unzerstörbar.«

Die Sicherheitsexperten von Kaspersky konnten einige Anfragen an die Steuerungsserver schicken und so Daten über die Menge der infizierten Systeme erhalten. Allein 4,5 Millionen Rechner sollen demnach allein in den ersten drei Monaten 2011 befallen worden sein, mehr als ein Viertel davon in den USA. Etwa sieben Prozent der mit TDL-4 verseuchten Rechner steht in Deutschland.

Erstaunlich sei, so heißt es bei Kaspersky, dass in den Statistiken keine russischen Anwender auftauchen. Das führt man ganz einfach darauf zurück, dass im Rahmen des Partnerprogramms, das der Verbreitung von TDL-4 dient, kein Geld für die Infektion russischer Rechner gezahlt wird.