TDL-4: Nahezu unzerstörbares Botnetz entdeckt

Sicherheits-Experten haben ein Botnetz entdeckt, das durch sein spezielles Design nahezu unzerstörbar ist. Die Betreiber haben sich offenbar intensiv Gedanken gemacht, wie die es verhindern können, dass ihnen die Infrastruktur weggenommen werden ... mehr... Virus, Netzwerk, Botnetz Bildquelle: mararie / Flickr Virus, Netzwerk, Botnetz Virus, Netzwerk, Botnetz mararie / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Verzwickte Sache, da kann wohl mal wieder nur Peter Huth helfen...
 
@JacksBauer: Oder "DataBecker´s Botnetz-Kompetenz-Leitfaden" ;)
 
@JacksBauer: Computer Bild hilft ;)
 
@JacksBauer: Von Live CD booten, neue Virensignaturen herunterladen und MBR prüfen lassen. Dann sollte dieser Trojaner wohl gefunden werden.
 
@drhook: ja ja ... das sagen sie alle und wachn mit ein blaun aug auf :->
 
@JacksBauer: Echte Microsoft Kamikaze schreckt das alles überhaupt nicht, ohne Windows Schadsoftware wäre für die das Nutzungserlebnis doch gar nicht vollkommen. Selbstmörderischer Windows Einsatz im Internet ist längst Alltag. Zur Beruhigung gibt es Placebos.
 
@Feuerpferd: Du weißt schon, das es diesen Trojaner auch für andere Betriebssysteme gibt? Dort ist er nur nicht annähernd soweit verbreitet.Und heutzutage ist das größte Sicherheitsproblem der Anwender und nicht nur die Software...
 
@Feuerpferd: Frei nach dem Motto: "It´s not a bug it´s a feature" :-)
 
@JacksBauer: du meinst peter lustig?
 
krasse Sache
 
wow, das ist ja mal eine ansage.
also die leutz haben es echt drauf,ist ja hammer.

lol, und schon kommen die die leute mit dem minus ^^
aber ist doch wahr.die haben es numal drauf,ob euch das nun passt oder nicht.
so, nun kann es weitergehen mit dem minus
 
@Trigger80: hier wird sowas nicht gelobt - nur als Script Kiddie abgestempelt :)
 
@Trigger80: Manche Leute haben es auch drauf besoffen Auto zu fahren. Trotzdem verdienen die nicht meinen Respekt.
 
@Dr. Alcome: omg, wat für blöde vergleiche, naja, ihr experten macht das schon.
Have a nice day
 
@Trigger80: Was erwartest du, wenn du hier mit wow, lol & omg ankommst? ^^
 
@Aaron 86: da fehlt noch " ^^ "
 
@Dr. Alcome: Immer diese Autovergleiche... ^^
 
@DON666: Das hatten wir doch gestern schonmal... hätte wohl doch besser Automobilkaufmann gelernt...;)
 
@localghost : Hirnlose Vergleiche und menschliche Abwertungen mit PRO 7 - Wissen bekommen Plus. OMG! Dann gute Nacht JimBot.
 
@Trigger80: Egal, was Du genommen hast. Die Dosierung stimmt nicht.
 
@localghost: Doch. stimmt alles.
bei dir auch?
 
@Trigger80: Stimme dir vollkommen zu. Egal ob ungesetzlich oder nicht, genau so wies ein Meisterdieb "drauf hat", hats auch ein Trojaner-Autor, der es schafft, dass die Sicherheitsexperten verzweifeln, drauf. Eine höhere Anerkennung gibts in diesen Kreisen bestimmt nicht, als dass das eigene Botnetz offiziell als unzerstörbar betitelt wird.
 
Alles eine Frage der Zeit. Botnetze dürften keine allzu lange "Halbwertszeit" haben. Wenn die genutzte Sicherheitslücke gefixed ist, werden alle Rechner die irgendwann neu aufgesetzt werden oder durch neue ersetzt werden, wegfallen.
 
@tinko: Aber selbst dann fallen nur einige Tausend-Rechner aus. In der weiten Welt da draußen kümmern sich "normale" Anwender weit weniger um Updates, Sicherheitssoftware oder so als IT-affine Leute wie wir hier. Der Rechner läuft und läuft und läuft.
 
@tinko: wie willst du die Sicherheitslücke "Mensch" fixen? Selbst auf einem komplett lückenlosen System (in der Theorie) würde Mensch noch auf jegliche Sicherheitswarnungen pfeifen, sobald da nur interessant genug "wanna see pr0n" steht. Da vergessen die Leute alles und _wollen_ das Ding ausführen. Funktioniert auf jedem System und bei 99% der Männer.
 
@der_ingo: IT-Aufklärung. Klingt lahm, aber es hilft nichts.
 
@der_ingo: Die Sicherheitslücke braucht garnicht gefixt zu werden... wenns auf der Welt so weiter geht, löscht sie sich die doch eh selbst aus.
 
@der_ingo: Genau hier sehe ich auch das Problem- Unwissenheit auf der einen Seite und das "hier bekomm ich was umsonst Syndrom" auf der anderen Seite. Abhilfe würde nur m.E. eine Art weltweiter VM nach dem Prinzip virtuell Desktop helfen. Sicherheitsexperten patchen und pflegen ein System dezentral und der User meldet sich am Remotesystem an. Aber da liegt ja gleich das nächste Problem....wer kontrolliert die Kontrolleure :-)
 
@tinko: Der Trojaner kann ja durch alle möglichen Sicherheitslücken aufs System gebracht werden. Solange es Sicherheitslücken gibt, gibt es auch die Möglichkeit dieses Botnetz zu erweitern. Es kann also bestehen, solange die Betreiber es pflegen. Nur die Installationsroutinen des Trojaners werden sich mit der Zeit ändern um eben andere Lücken zu nutzen.
 
Der Beginn von Skynet...!
 
Kann man den MBR nicht für Veränderungen sperren? Zumindest bei neueren PCs und wenn es nicht gerade das billigste Mainboard mit dem billigsten BIOS ist sollte das doch gehen? Außerdem würde mich interessieren, ob der Trojaner nur schwer zu finden ist oder nicht zu finden ist? Wenn er mal gefunden wurde (Was ja nun passiert zu sein scheint) müsste das Signaturupdate der AV-Hersteller ja nur noch Formsache sein?
 
@Memfis:
beim MBR kann das etwas kniffliger werden
 
@Memfis: Das Signaturupdate verhindert, dass der Schädling reinkommt. Wenn er drin ist, kann er das Signaturupdate unauffällig sabotieren.
 
@Memfis: Das große Problem sit nicht ihn zu finden, sonder ihn wieder los zuwerden. Irgendetwas aus den tiefsten tiefen des MBR wieder rauszuholen beudeutet nämlich idR. leider eine neuinstallation und das ist für die meisten User halt immer noch ein nogo
 
@craze89: eigentlich sinds doch immer die nubs die gleich platt machen, das sollte aber für jeden ein nogo sein
 
@DataLohr: rofl. Genau!!! N0obs können innerhalb von 5 Minuten auf ein laufendes sauberes Backup zugreifen während der Pro in seiner Ein-Mann-Admin-Kabine die schnellere Lösung hat....roffel. Sind schon wieder Ferien oder wie oder was??????????
 
@DataLohr: Wieso? Mein ArchLinux-System ist in einer halben Stunde aufgesetzt. Ein Laptop mit Ubuntu potenziell noch schneller.
@Tomarr: Nicht allzu schlecht. Solange von einem anderen Datenträger gebootet wird, kann der Trojaner da nicht viel ausrichten. Er kann sicherlich das laufende Windows täuschen, auf dem er installiert wurde, aber welcher Schädling, der erstmal im System ist, kann das nicht.
 
@DataLohr: eeeeeehm.... nein? Also so ziemlich jeder Informatiker den ich kenne (mich eingeschlossen) hat immer ein aktuelles backup zur hand, und bevor groß rumgefrickelt wird, wird einfach die OS-Partition zurück gespielt und schon hat man in 5min wieder ein sauberes system. Der Ottonormaluser hat aber eben kein solches backup und hat keine lust bzw. weis nicht wie er das ganze neu aufsetzen soll.
 
@craze89: tja, ein Backup mag nicht viel nützen, wenn der Schädling sich vor Wochen oder gar Monaten eingenistet hat .... ^^
 
@gust1: Man muss sich ein Backup oder Image der Systempartition (mit MBR) generieren, bevor man den Rechner mit dem Internet verbindet. Dann kann man bei einem Befall alles wiederherstellen und man ist den Schädling los (auch im MBR). Natürlich muss man Daten und das System auf verschiedene Partitionen legen, damit die Daten selbst nicht verloren gehen.
 
@gust1: auch das stimmt nicht ganz. Es kommt halt drauf an, wie man seine Backups macht. Ich persönlich habe nicht nur das letzte backup, sondern immer die letzten 5 (weekly). klar KANN auch das mal nicht ausreichen, aber wer mehrere monate braucht, um zu merken das der rechner vervirt ist, der hat eh was verpasst
 
@craze89: ja, schon klar - aber fünf Wochen reichen eben u.U. nicht .....
 
@Memfis: War da nicht gestern oder vorgestern hier ein Artikel über einen ähnlichen Trojaner? Unter anderem ging es in dem Artikel halt darum dass Schreibzugriffe auf den MBR in Lesezugriffe umgewandelt werden. Somit werden zum einen dann Erfolgreiche Schreibzugriffe vorgetäuscht, und vor allem kannst du den MBR natürlich nur löschen indem du den Schreibzugriff auch wirklich als solchen ausführst. Wenn sich dieser Trojaner ähnlich schützt sieht es schlecht aus.
 
Letzter Absatz, zweite Zeile: Es fehlt ein "in" ;)
 
Wird lustig werden, wenn solche Malware auf die Smartphones gerät. Das wäre für viele Nutzer der GAU. Zu mal es immer noch Honks gibt, die mit aktivierten Bluetooth durch die Großstadt ziehen mit ihren sehr persönlichen Videos.
 
"... aufmerksam machen und dafür sorgen, dass dieser !bessere! Security-Programme installiert" ^^ das stinkt doch.
 
"....Um sich möglichst gut zu tarnen greift der TDL-4-Trojaner auch andere Malware an, die sich möglicherweise auf dem System befindet. So soll offenbar verhindert werden, dass andere Schadprogramme den Besitzer eines PCs auf sich aufmerksam machen und dafür sorgen, dass dieser bessere Security-Programme installiert. ..."

Also Kaserpsky runter und F-Secure drauf ^^. Ich finde des Absatz irgendwie verwirrend. Was ist denn ein besseres Security-Programm?
 
@Hexo: Erstmal ein besseres als das "Tool zum Entfernen unerwünschter Software" oder wie es heißt, wahrscheinlich ;-)
 
@Hexo: Da ist ja sogar Kaspersky besser als F-Secure. Ich weiß auch nicht was viele gegen Kaspersky haben. Als ich das lange Zeit genutzt habe war das ein gutes Programm. Aber irgendwann kam eine neue Version und die hat nur Probleme gemacht - ab dann habe ich dann mehrere AV-Programme getestet (von NOD32 - GDATA). Und bin bei GDATA geblieben Das ist ja auch Kaspersky Engine + BitDefender.
 
@ephemunch: Da muss ich Dich schwer enttäuschen. GData nutzt Bitdefender + Avast. Kaspersky nutzen die schon lange nicht mehr.
Und ob Kaspersky besser als F-Secure ist, lass ich mal im Raum stehen. Meine Tests sagen da was anderes und die unabhängingen von AV-Test.org und Av-Compairs sehen F-Secure auch vor Kaspersky.
Aber GData ist wirklich ein gutes Programm. Nur leider bremste das meinen Rechner ein wenig zu viel :-(
Egal, jetzt hab ich NIS und bin zufrieden.
 
@Hexo: Hast du eine Quelle für den Engine-Wechsel ? Ich finde bei Google nichts von aktueller G-Data AV-Engine.
 
@ephemunch: Puh, es gibt viele quellen: http://goo.gl/zS3co und halt in diversen Sicherheitsforen. Ansonten sieht man das auch immer schön bei Virustotal wenn ein Sample erkannt wird. Gdata und Bitdefender haben immer die selbe Malwarebezeichnung. Wenn ich das noch richtig im Kopf hab, ist die Engine A: Bitdefender und B: ist Avast.
 
@Hexo: avast <3, NIS ? Das geht ja mal garnicht was hast du denn geraucht? ^^
 
@xxxFrostxxx: NIS ist im groben und ganzen aktuell eins der besten AV-Suiten auf dem Markt. Die Performance ist super und die Erkennung ebenfalls. Avast ist von der Erkennung her ein ticken schlechter und der Verhaltensbasiernde Schutz.... der geht aktuell ja gar nicht. Ich denke aber, dass Avast da langfristig was gutes hinzaubern wird.
 
Wieviele von euch haben im ersten Moment denn auch "TDSL-4: Nahezu unzerstörbar" gelesen? :)
 
So schwer ist es nicht, einen Bootsektorvirus loszuwerden.
 
Wie denn?
 
Von ner Live CD booten, den MBR plätten, neu schreiben lassen, die restliche Platte scannen lassen oder per Hand Wiederherstellungsmöglichkeiten des Virus entfernen. Kommt natürlich immer auf den Einzelfall an, Befehle je nach OS.
Jetzt kann man natürlich wieder Kopfkino spielen warum es nicht klappen könnte, meistens läufts aber.
 
@ElGonzales: Besser noch den MBR vor dem ersten Internetbesuch sichern (z.B. mit Acronis True Image). Dann kann man den "vereuchten" MBR mit den "orginal" MBR überschreiben (mit Live CD usw.).
 
@ElGonzales: ahha und wie willste das machen wenn die trojaner alle mbr schreibzugriffe in lesezugriffe umwandelt? ist nicht ausgedacht davor hat ms gewarnt vor einigen tagen.
 
@Odi waN: Wenn du von einer Live CD bootest, werden die Schreibzugriffe nicht mehr durch Lesezugriffe ersetzt !
 
@drhook: steht wo?
 
@Odi waN: Vielleicht liest du mal etwas über die Verwendung von Live CD (Konzepte und prinzipielle Funktionsweise). Zurück zu TDL-4. Der Trojaner manipuliert die Systemroutinen (in diesem Fall die Schreibzugriffe). Das kann ja wohl nicht passieren, wenn man von einer Live CD bootet und die "Systemroutinen" dann von der gebrannten CD stammen.
 
@knoxyz: Boot-CD mit Virenscanner, was egal bei welcher Art von Virus Methode #1 ist.
 
@Kirill: Aja du mußt das ja wissen. Wenn schon die Experten von MS warnen, das infizierte Rechner neu aufzusetzen sind, dann machst du denen sicher was vor. Vielleicht solltest du dich mal da bewerben...
 
http://www.windowsblog.at/post/2011/06/30/Trojaner-erfordert-Neuinstallation.aspx
 
@skyjagger: Hast du auch Fachwissen zum Thema oder willst nur nur blöd labern?
 
Was würde McGyver in so einer Situation tun?
 
@Friesenmeister: Nichts - Denn Chuck Norris ist das Botnetz.
 
@Friesenmeister: 2 Wattebällchen und eine Waldorfschulklasse nehmen, die Schüler lässt er zu ihrem Namen tanzen und er drückt währendessen den Schädling aus dem MBR mit den Wattebällchen :D
 
@Friesenmeister: Ist doch klar, den Pinguin mit Fisch locken und ihn dann den MBR fressen lassen.
 
Sehe ich das richtig, der MBR hat doch nur 512 Bytes? Kann mir jemand erklären wie das platz hat?
 
@MrBonsai: eventuell wird der ja vom Trojaner nach seinen Bedürftnissen vergrößert oder so, kp^^
 
@MrBonsai: Glaub mir, du kannst verdammt viel mit 440 Bytes, weil abzüglich Disksignatur, MBR-Signatur und Partitionstabelle bleiben nur noch 440 Bytes nach. Und es bedeutet nicht das der komplette Trojaner im MBR liegt. Der Rest kann durchaus verteilt sein.
 
Ich finds spannend. Ich verurteile nicht, ich vergöttere nicht, aber faszinierend ist die ganze Entwicklung schon (und die Möglichkeiten etc.)
 
Das ist nicht spannend, das ist in keinster Weise irgendwie von Bedeutung und auch nicht von wirtschaftlichem Nutzen für diese Welt wie "unzerstörbar" dieses Netz sein soll. Ich fordere gerade deshalb diese Community, andere Communities wie auch die Experten des BSI und anderer Sicherheitsorganisationen und -Firmen die sich mit derartigem beschäftigen, dazu auf sich nunmehr speziell um dieses Botnetz zu kümmern, es umfassend zu analysieren um denen die es betreiben das Handwerk zu legen! Spam braucht keiner. Zumindest die Seite die diesen Müll dann in der Mail bekommt, kann sehr gut ohne mit so einem Schrott leben. PUNKT! Achja: TestDisk sollte am besten in der nächsten Version den MBR so überschreiben können, daß der Trojaner zumndest hier schonmal mit eliminiert wird. Ggf. sollte man dann noch Einsprungpunkte in diesem Block finden die nach "irgendwohin" zeigen und nicht zu den plausiblen Lokationen (Partitonstabellen, FAT-Ketten/-Tabellen, Startsektoren der einzelnen Partitionen resp. darin existierender logischer Laufwerke, MFT-Vektoren etc.) von dieser Stelle aus.
 
Ich glaube das, wenn, wie vor 60.000.000 Jahren, ein Asteroid einschlägt das Botnetz das nicht überleben wird.
 
@marcol1979: "Nahezu"...
 
Unzerstörbar ist alles, bis es zerstört wird. - Ich kann mich eigentlich nur selbst zitieren...
 
HAHA - zum glück habe nutze ich die master boot record software nicht - und mein windows security center wird mit jedem virus, trojaner oder anderen dingern fertig.. soll er nur kommen, mein rechner ist bereit dafür ;-)
 
@Horstnotfound: Bereit dafür infiziert zu werden Das glaub ich gerne.
Alles andere ist selbsttrügerische Sicherheit.
 
@Horstnotfound: mega LOL
 
@Horstnotfound: *LOL* Köstlich! "Zum glück nutze ich die master boot record Sofware nicht [...]" Spitzenqualiät! (+)
 
nuja, anfang der 90er waren solche trojaner im bios und mbr schon mal in "mode". und selbst mein system mit einem doppelten sicherheitssystem ist nicht 100% sicher. so wie es immer unmöglich ist etwas 100% sicher und unhackbar zu machen.
 
@MxH: klar gibts das, USB Sticks Vermeiden und Netzwerkstecker ziehen, schon kann von außen nix mehr reinkommen^^
Kommentar abgeben Netiquette beachten!

Beliebt im WinFuture-Preisvergleich

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles