Das Rootkit TDSS (aka Alureon, TDL) ist eine der perfektesten Bedrohungen die derzeit im Netz für Windows-Rechner kursieren.

Es nutzt diverse überarbeitete und auch noch nie zuvor gesehene Techniken im Bereich des Stealthings die es im Normalfall sprichwörtlich unsichtbar machen.

Seit TDSS zum ersten Mal im Jahre 2008 gesichtet wurde, hat es sich stets weiterentwickelt. Während in 2010 die 3. Variante, auch bekannt als TDSS.d den größten Erfolg hatte, kommt 2011 nun die neue Version, TDL-4 zum Einsatz. Sie bringt ein paar interessante Neuerungen mit sich, mit denen wir uns heute beschäftigen wollen.

Bis zur Version TDL-3 kannten einzig und allein die Entwickler den Quellcode. Nachdem TDL-4 fertiggestellt war, hat man sich schließlich entschlossen, den Quellcode der Version 3 zu verkaufen.
So wurde das eigene Botnetz nicht gefährdet und der Profit maximiert.

TDL-4 wird nach wie vor über Affiliate-Programme verbreitet. Ein Affiliate hat die Aufgabe, TDSS auf Windows-Rechnern zu installieren. Er wird dafür mit 20-200€ pro 1000 Installationen belohnt, abhängig davon, woher die infizierten Rechner stammen (russische Rechner sind nichts wert).
Wie, das obliegt dem Affiliate. TDSS kann gecrackter Software beiliegen oder einfach über einen Exploit auf den Rechner gelangen.

Sobald TDL-4 nun installiert wurde, nehmen die normalen Routinen, die aus den früheren Versionen bekannt sind, ihren Lauf.

TDL-4 nimmt nun mit einem neuen, eigens für TDSS entwickelten Verschlüsselungsstandard eine Verbindung mit den Servern auf.

Weiterhin erhält TDSS mit TDL-4 eine eigene Anti-Virus Engine. TDL-4 ist weiterhin ein Bootkit, lädt also vor dem Betriebssystem. Das eine Ziel ist, sich vor dem installierten Anti-Virus zu verstecken.
Mit der neusten Version entfernt es nun auch die Konkurrenz, TDSS besitzt Signaturen um etwa 20 der häufigsten Schädlinge, darunter ZeuS(zBot), Gbot, Clishmic und Optima zu entfernen.

Das hilft TDSS in zwei Weisen, zum einen werden andere Cyberkriminelle bekämpft und geschwächt, zum anderen wird so verhindert, dass schlechtere, auffälligere Malware den Nutzer auf eine Infektion aufmerksam macht.

Nun verdient das Rootkit an sich aber noch kein Geld. Wie finanzieren sich die Entwickler also?

TDSS installiert diverse Malware nach, Adware, Spambots, FakeAVs. Diese bringen tatsächlich Geld ein. TDSS verfügt über genügend Möglichkeiten, diese weitestgehend zu verbergen, bzw. die Entfernung zu verhindern.

Das interessanteste neue Modul, das TDL-4 mit sich bringt, ist die Integration des Kad-Peer-to-Peer Netzwerkes. Zum ersten Mal wird nun ein öffentliches, frei zugängliches P2P Netz genutzt.

Infizierte Rechner werden in diesem Netzwerk nach einer verschlüsselten Datei suchen, die Kommandos für TDSS enthält. Auf diese Weise können Entwickler problemlos das Botnetz kontrollieren und aktualisieren.

Außerdem generieren die Rechner eigenständig ein Netzwerk im eigentlichen P2P-Netz, indem nur die IPs infizierter Rechner als Knotenpunkte genutzt werden.

Das macht das Botnetz schwerer zu zerschlagen, selbst wenn Botnetz-Server vom Netz genommen werden wird so über das P2P-netz die Kommunikation zwischen Entwicklern und infizierten Maschinen bestehen bleiben.

Wissend, dass TDL-4 bestens geschützt ist, haben sich die Entwickler weiter auf den Profit konzentriert.

In der neusten Version kam eine Proxy-Komponente hinzu. Die Entwickler bieten für einen Preis von ~100$/Monat ein anonymes Surfen im internet an. Infizierte Rechner werden als sogenannte Proxy-Server genutzt.

Der 64-Bit Support wurde etwas erweitert.

TDSS manipuliert die Suchergebnisse diverser Suchmaschinen. Die Liste der Suchmaschinen, die betroffen sind, ist jedoch die größte, die bisher entdeckt wurde. Hier ein Einblick:

Kaspersky Lab gelang es, einen Einblick in die MySQL-Datenbank eines Servers zu erhalten, der die Anzahl der Infektionen protokolliert. Demnach gab es allein im ersten Quartal von 2011 über 4,5 Millionen infizierte Rechner.

To be continued...

So schnell wird die Epidemie kein Ende nehmen. Die Entwickler von TDSS sind mit die Weltbesten, daran gibt es keinen Zweifel mehr. Zudem dürften sie momentan im Geld schwimmen. Es gibt keine Anzeichen einer Verschlechterung dieser Lage und somit auch wenig Hoffnungsschimmer, dieses dezentralisierte, serverlose Botnetz zu zerschlagen.