Open Source im professionellen Einsatz

Hand of Thief: "Linux-Trojaner" erweist sich wieder mal als Nullnummer

11.09.2013

Während Viren, Trojaner und andere Malware auf Android und Windows eine stete Gefahr bleiben, hat sich erneut eine Story über einen Linux-Virus als falsch erwiesen. Die Sicherheitsabteilung von EMC, die RSA hat den Trojaner unter die Lupe genommen und läßt kein gutes Haar daran.

303

Ein kleiner Einblick in die Bits des Trojaners "HoT" (Hand of Thief) habe gereicht, um Entwarnung zu geben, schreibt Yotam Gottesman, Senior Executive Researcher beim Fraud Research Lab der RSA in seinem Blogpost. Zwar habe der Verkäufer der Malware stets von unfertiger Software gesprochen, so dass beispielsweise die Web-Injection noch nicht funktioniere und auf andere Baustellen verwiesen, doch seien selbst die derzeit vorhandenen Infektionsarten nur als primitiv zu bezeichnen, resümiert Gottesman.

Hot funktioniert nicht

HoT bringt zwar einige Schutzmechanismen mit, etwa gegen den Start in einer virtuellen Maschine oder unter den Augen von Wireshark, verweigert dennoch entgegen der vollmundigen Versprechen des Entwicklers die Arbeit auf fast allen Linux-Distributionen. Das von dem Team um Gottesman getestete Fedora ließ (manuell mit Hot infiziert) den Browser regelmäßig abstürzen (Chrome) oder fing nur leere Informationen ab (Firefox). Unter Ubuntu verhinderte offensichtlich ein Ptrace-Mechanismus den Start der Malware komplett. Funktionen wie die eingebaute Reverse-Shell funktionierten zwar, doch auch hier fanden sich interessante Informationen wie der Name der Malware - was die Suche nach Problemauslösern stark vereinfacht, meint Gottesman, und ebenfalls auf eher unprofessionelle Arbeit hindeutet.

Eher ein Prototyp

Insgesamt, so lautet das Fazit der RSA, stelle Hot keine Gefahr und auch kein Proof-of-Concept dar. Allerhöchstens als Prototype läßt sich die Malware bezeichnen, die weder auf den meisten Linuxen läuft noch einen funktionierenden Verbreitungsweg vorweisen kann. Die hakelige Installation muss der Anwender nämlich selbst vornehmen. Und weil sich der Code in klar sichtbaren, einfach löschbaren Dateien befindet, lässt sich Hot auch einfach entfernen. Vielmehr scheint der Trojaner der Beweis für eine starke Nachfrage bei geringen Angeboten zu sein: Mit zunehmender Verbreitung von Linux-Systemen werden die auch für die kriminelle Branche interessant, doch scheint es noch immer keine funktionierenden Angebote für Pinguin-Parasiten zu geben.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 01/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.