Der russische Sicherheitsdienstleister Kaspersky hat ein Bot-Netzwerk entdeckt, das über eine nahezu unzerstörbare Struktur verfügen soll. Statt über die sonst genützten Command&Control-Server zu agieren, verwendet das Netzwerk Peer-to-Peer-Systeme, um Befehle an die einzelnen Zombie-Computer weiterzuleiten. Das lässt sich durchaus als technologische Evolution bezeichnen.

Das Netzwerk, das den Namen TDL-4 trägt, installiert Trojaner in den Master Boot Record der betroffenen Rechner. Dabei geht es so geschickt vor, dass er sogar andere Schadsoftware angreift und löscht, um zu verhindern, dass der Nutzer des Computers aufmerksam wird und möglicherweise seine Sicherheitssoftware aktualisiert. Damit versteckt sich der Trojaner nicht nur vor Sicherheitssoftware, sondern verhindert auch, dass andere Programme Alarm auslösen und den Benutzer warnen.

Das besondere an der Struktur ist, dass die Befehle an das Netzwerk über Peer-to-Peer-Verbindungen übertragen werden. Es reicht also aus, einen Befehl an einen der Zombies zu übermitteln, sodass er an den Rest des Netzwerkes weitergeleitet wird. Für gewöhnlich nutzen Bot-Netze zentrale Command&Control-Server, die auch mehrfach redundant angelegt sein können. TDL-4 soll auch über eine solche Serverstruktur verfügen, diese dient wohl aber nur als sekundärer Steuerkanal für schnelle Operationen wie kurzfristig durchzuführende DDoS-Angriffe.

Diese Strukturierung macht das Netzwerk so stabil. Bisher konnten die Bot-Netzwerke dadurch zerstört werden, dass man ihre C&C-Server abschaltete, blockierte oder versuchte Code einzuschleusen, der es den Trojanern unmöglich machte, die zentralen Steuerserver zu kontaktieren. So war es möglich, den Betreibern des Netzwerkes die Kontrolle über die Zombie-Computer zu entziehen. Die Verbindung über Peer-to-Peer-Ketten macht das unmöglich, da es keinen zentralen Server mehr gibt, über den die Befehle und Updates an das Netzwerk weitergeleitet werden.