Kein "unzerstörbarer" Rootkit genutzt
TDL-4-Botnet: Sophos warnt vor Panikmache
Kaum ist die Hackergruppe Lulzsec aus den Schlagzeilen verschwunden, warnen diverse Beobachter vor einem TDL-4-Botnet: Dieses sei praktisch unzerstörbar und damit höchst gefährlich. Paul Ducklin vom Security-Spezialisten Sophos hingegen warnt vor Panikmache.
„Sicherheitsforscher entdecken ‚unzerstörbares‘ Botnet“, titelt zum Beispiel BBC News auf seiner Website (www.bbc.co.uk/news/technology-13973805 ). Das Botnet auf der Basis des TDL-4-Rootkits sei sehr komplex und schwer zu knacken, insbesondere weil die Kriminellen einen eigenen Verschlüsselungsalgorithmus entwickelt hätten. Manche Marktbeobachter fragen sich nun besorgt, ob nun die IT-Welt von ihrer „HIV-Variante“ befallen sei (Beispiel: twitter.com/#!/stephenodonnell/statuses/86726129196605440 ). Auf dem Sophos-Blog hingegen rät Paul Ducklin in Anlehnung an Douglas Adams zu mehr Gelassenheit: „Don’t panic!“
TDL-4 ist die vierte Inkarnation des TDL oder TDSS genannten Rootkits. Rootkits sind Malware-Code, die die Existenz anderer Malware und gegebenenfalls auch die eigene Existenz auf einem Rechner verschleiern. Auch Paul Ducklin gesteht zu: „Die TDL-Rootkit-Familie ist in der Tat eine der trickreichsten Rootkits, die es gibt.” Zudem sei der Rootkit Closed Source, also proprietär und nicht frei im Internet verfügbar.
„Neuere Versionen von TDL sind besonders hinterhältig”, so Ducklin weiter. Sie versteckten sich in einer verschlüsselten Partition ganz am Ende der Festplatte, außerhalb der Reichweite von Windows, und starteten – ein alter Trick der Virenschreiber – beim Boot schon vor Windows selbst direkt vom MBR (Master Boot Record). Dieses Vorgehen sei faszinierend, aber deshalb noch lange nicht vor jeglicher Bekämpfung gefeit, so der Sicherheitsspezialist: „Kein TDL-Rootkit-basierte Malware ist unzerstörbar.“
Deshalb rät er auch hier vor allem zu Umsicht und Vorsorge – und selbstverständlich zu regelmäßigem Aufspielen aktueller Patches sowie zu aktueller Anti-Viren- und Anti-Malware-Software: „Wenn Sie eine ordentliche und aktuelle Anti-Virenlösung haben, dann wird der TDL-Installer wahrscheinlich gar nicht laufen können.“ Es gebe also keinen Anlass für „Warnstufe rot“.
Paul Ducklins Blog-Eintrag: nakedsecurity.sophos.com/2011/06/30/indestructible-rootkit-rumours-are-greatly-exaggerated-stand-down-from-high-alert/
Lesen Sie mehr zum Thema
