Trojanisches Pferd namens BackDoor.Wirenet.1 für Linux gefunden

Flattr this!

Der russische Anti-Virus Software Entwickler namens Doctor Web hat das erste trojanische Pferd gefunden, dass auf Linux und Mac OS X läuft. Der Trojaner hat die Aufgabe „to steal passwords stored by a number of popular Internet applications.“
Zum Glück ist die Linuxsicherheit noch lange nicht passe. Der Trojaner muss (sobald er ausgeführt wurde) sich selbst in das Homeverzeichnis des Users kopieren. Das bedeutet, dass man einfach nur nach einer Datei namens WIFIADAPT in seinem Homeverzeichnis suchen muss. Dabei sollten auch versteckte Dateien berücksichtigt werden. Dazu verwendet man am schnellsten den Befehl ls -la
Doch nicht nur das ist bekannt. Dem Quellcode des Trojaners ist relativ schnell die IP Adresse des Servers, mit dem er kommuniziert, zu entlocken. Diese lautet 212.7.208.65. Sollte sich also eine der erwähnten Dateien in eurem Homeverzeichnis befinden, dann müsst ihr diese Datei eigentlich nur löschen und die IP Adresse 212.7.208.65 auf eurem System blocken (aus Sicherheitsgründen kann man das nat. auch einfach so tun). Eine IP Adresse sperrt man am besten mit dem iptables tool. Um die besagte IP Adresse auf eurem System zu sperren, führt ihr (mit Rootrechten) einfach folgenden Befehl aus:
iptables -A INPUT -s 212.7.208.65 -j DROP
Damit sollte der Trojaner also auch keinen Schaden mehr anrichten können. Das nächste Sicherheitsupdate der Linux Distributionen dürfte es dem Pferd sowieso unmöglich machen, sich in Zukunft auf Systemen einzunisten.
Hier noch ein kleiner Auszug aus der Analyse des Trojaners, um zu zeigen, was dessen Aufgabe ist:
„also operates as a keylogger (it sends gathered keyboard input data to intruders); in addition, it steals passwords entered by the user in Opera, Firefox, Chrome, and Chromium, and passwords stored by such applications as Thunderbird, SeaMonkey, and Pidgin.“

Update: Der Vollständigkeit halber will ich hier noch kurz erklären, wie man eine durch iptables gesperrte IP Adresse wieder entsperrt. Dazu führt man exakt denselben Befehl wie zum Sperren aus, außer dass man dieses mal den Parameter -A (für add) durch den Parameter -D für delete ersetzt. In unserem Beispiel wäre das dann also folgender Befehl:
iptables -D INPUT -s 212.7.208.65 -j DROP

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.