Hinterhältiges Rootkit ist „teilweise unzerstörbar“
Eine der hinterhältigsten Malware hat 4,5 Mill. Benutzer-PCs in nur drei Monaten befallen. Auf dem befallenen PC können Keylogger gestartet, andere bösartige Software installiert und der PC anderweitig missbraucht werden.
Das TDSS-Rootkit existiert seit 2008 und hat schon in der Vergangenheit durch seine ausgefeilte Funktionalität Aufsehen erregt. Anti-Virus-Software hat es sehr schwer, den Schädling zu entdecken. Forscher haben Schwierigkeiten, das Rootkit zu entschlüsseln, da das Rootkit Low-Level-Befehle ausführt. Eine eingebaute Verschlüsselung schützt das Programm vor neugierigen Blicken auf seinen Programmcode.
Die letzte Programmversion, TDL-4 ermöglicht es den Autoren, über eine Backdoor weitere Schadprogramme auf dem befallenen System zu installieren, eine ausführliche Studie von Kaspersky ist verfügbar. „Die Intention der Entwickler ist“, so Kaspersky, „Mechanismen einzubauen, die darauf abzielen, ein unzerstörbares Botnet zu erzeugen, das gegen Angriffe und Konkurrenz immun ist und von Anti-Virensoftware nicht gefunden werden kann.“ Es wird auch der Master-Boot-Record eines PCs befallen.
Trotz der Widerstandsfähigkeit der Software hat auch diese Fehler und Lücken. So konnten die Forscher bei Kaspersky durch eine Lücke die Zahl der Infektionen durch Einträge in drei MySQL-Datenbanken in Moldawien, Litauen und den USA bestimmen. Interessant ist, dass keine russischen infizierten Systeme gefunden wurden. Das dürfte daran liegen, dass es keine Belohnung von „Partnerprogrammen“ für die Infektion von russischen Computern gibt. Die meisten Infektionen sind mit Abstand in den USA, darauf folgen weit abgeschlagen Indien, Indonesien, England und andere Staaten.
Artikel von theregister.co.uk, 29.05.2011: ‚Indestructible‘ rootkit enslaves 4.5m PCs in 3 months
Artikel von itexperst.at, 20.05.2011: Hinterhältiges Rootkit TDSS
Artikel von bbc.co.uk, 30.05.2011: Security researchers discover ‚indestructible‘ botnet