Sysbus

Die Informationsseite für IT-Spezialisten

Sysbus
Artikel Security 

TLD4 – Analyse eines leistungsfähigen Schadprogramms letzter Teil

gg , , ,

Autoren/Redakteur: Sergey Golovanov und Igor Sumenkov von Kaspersky/gg

Statistik der Steuerungsserver

Trotz der von den Cyberkriminellen ergriffenen Maßnahmen zum Schutz der Botnetz-Steuerungszentren ist es mit Hilfe des Kommunikationsprotokolls von TDL-4 möglich, spezielle Anfragen an die Steuerungszentren zu erstellen und so eine Statistik über die Menge der infizierten Rechner zu erhalten. Eine von Kaspersky Lab durchgeführte Analyse der so erhaltenen Daten hat drei einzelne MySQL-Datenbanken zutage gefördert, die sich in Moldawien, Litauen und den USA befinden und die Arbeit des Botnetzes hinter den Proxy-Servern unterstützen. Den Informationen aus diesen Datenbanken zufolge wurden allein in den ersten drei Monaten des Jahres 2011 weltweit 4.524.488 Computer mit TDL-4 infiziert.

Verteilung der mit TDL-4 infizierten Computer nach Ländern
Verteilung der mit TDL-4 infizierten Computer nach Ländern

 

Fast ein Drittel der befallenen Computer befindet sich in den USA. Den Einschätzungen von Partnerprogrammen zufolge kostet die Infizierung einer solchen Menge an Rechnern in den USA 250.000 US-Dollar. Diese sind vermutlich auch in die Taschen der TDSS-Entwickler gewandert. Bemerkenswert ist, dass russische Anwender nicht in der Statistik erscheinen. Das liegt daran, dass Partnerprogramme kein Geld für die Infizierung russischer Computer bieten.

Das ist noch nicht das Ende!

Der Titel des letzten Kapitels in unseren Artikeln über TDSS bleibt traditionell unverändert. Auch jetzt haben wir wieder allen Grund zu der Annahme, dass TDSS weiterentwickelt wird. Die aktive Nachbearbeitung des TDL-4-Codes, das Rootkit für 64-Bit-Systeme, der Start vor dem Booten des Betriebssystems, die Verwendung von Exploits aus dem Stuxnet-Arsenal, der Einsatz von P2P-Technologie, der eigene “Antivirus” und viele andere Faktoren verleihen dem Schadprogramm TDSS einen Platz in der ersten Reihe der technisch höchstentwickelten und am schwierigsten zu analysierenden Computerschädlinge. Das mehr als 4,5 Millionen infizierte Rechner umfassende Zombie-Netz wird von den Cyberkriminellen für Machenschaften mit Werbung und Suchsystemen genutzt, ermöglicht ihnen anonymen Zugriff auf das Internet und dient der Installation weiterer Schadprogramme.

TDSS und das Botnetz, das von diesem Schädling befallene Computer vereint, verursacht sowohl Anwendern als auch Experten für IT-Sicherheit noch immer eine Menge Unannehmlichkeiten. Dieses dezentralisierte, serverlose Botnetz ist praktisch unzerstörbar, was durch die Epidemie des Wurms KIDO einmal mehr bestätigt wurde.

[subscribe2]

Ähnliche Beiträge:

  1. TLD4 – Analyse eines leistungsfähigen Schadprogramms Teil 1
  2. TLD4 – Analyse eines leistungsfähigen Schadprogramms Teil 2
  3. TLD4 – Analyse eines leistungsfähigen Schadprogramms Teil 3
  4. Sysbus Trend-Thema Cloud, letzter Teil

Das könnte dir auch gefallen

Was Hardware Token wirklich kosten

gcg

NSE-Kurse von Fortinet weiterhin kostenlos

gg

Patentrezept für IT-Security

gcg