Login


 
Newsletter
Werbung
Mi, 9. Dezember 2009, 21:32

Software::Desktop::Gnome

Malware-Paket auf gnome-look.org und opendesktop.org

Ein Bildschirmschoner auf den Art- und Themenseiten »gnome-look.org« und »opendesktop.org« entpuppte sich bei näherer Betrachtung als Malware - mittlerweile ist das Paket von den Servern verschwunden.

Einen Bildschirmschoner mit Wasserfall versprach das von dem User BlackNight5 am gestrigen Abend abgelegte Paket »app5552« auf »gnome-look.org« und »opendesktop.org« zu liefern. Wer die vermeintliche Augenweide allerdings binnen der letzten 24 Stunden herunterlud, installierte nicht ein Spaßprogramm, wie versprochen, sondern eine potentiell gefährliche Applikation.

Die als ein DEB-Paket installierte Anwendung führte ein Skript aus, das auf dem heimischen Rechner unter dem Verzeichnis /usr/bin ein »Auto.bash«-Script und unter /etc/profile.d das Script »gnome.sh« installierte. Die wiederum luden weitere Teile der Malware-Skripte aus dem Internet herunter, unter anderem ein Skript unter dem Namen »run.bash«, das wiederum unter /usr/bin abgelegt wurde.

Das Schadenspotential des Pakets blieb überschaubar. Als Schadensroutine, sofern man von einer solchen sprechen kann, führte das Skript ein simples ping mit einer fragmentierten Paketgröße von 64 KB aus. Offenbar plante ein Fan des Spieles Word of Warcraft, eine DoS-Attakte zu starten, die eine Seite treffen sollte, die sich vornehmlich dem Thema Exploits und private Server widmet. Wie stümperhaft der Angriff allerdings schon vorbereitet wurde, zeigt nicht nur die Bauweise der Malware, sondern auch die sofortige Wirkung.

Bereits nach wenigen Stunden entfernte der kostenlose Hoster, der die nachzuladenden Komponenten beherbergte, die Dateien. Auch die betroffenen Seiten warfen den vermeintlichen Bildschirmschoner bereits wenige Stunden nach dem Upload von ihren Servern. Anwender, die sich allerdings in den letzten Stunden von den betroffenen Seiten einen Bildschirmschoner herunterluden, sollten im Zweifel trotz allem ihre Systeme überprüfen und notfalls die Dateien »/usr/bin/Auto.bash«, »/usr/bin/run.bash« »/etc/profile.d/gnome.sh«, »/usr/bin/index.php« sowie das Paket »app5552« entfernen.

Werbung
Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten
Werbung