Software::Security
Banking-Trojaner für Linux: Einstweilige Entwarnung
Der Trojaner »Hand of Thief«, der in Untergrundforen als Banking-Trojaner für Linux zum Kauf angeboten wurde, kann einer neuen Analyse zufolge so gut wie gar nichts. Doch seine weitere Entwicklung muss beobachtet werden.
RSA
Hand of Thief verbirgt seine Identität nicht
Vor einem Monat wurde »Hand of Thief« von russischen Kriminellen für 2.000 US-Dollar
zum Kauf angeboten. Er wurde laut deren Aussagen speziell für die Linux-Plattform gebaut und sollte auf das Abschöpfen von Daten zum Online-Banking von Desktop-Nutzern zielen. Eine erste Analyse von RSA, der Sicherheitsabteilung der EMC Corporation, bescheinigte dem Schädling allerdings bereits, im Vergleich mit Banking-Trojanern für die Windows-Plattform noch relativ primitiv zu sein. Er nutzt keine spezielle Lücke in Linux aus, sondern wird über den Browser übertragen oder vom Anwender selbst installiert, indem dieser auf unbekannte Anhänge in E-Mails klickt. Von der kriminellen Bande wurde ein Update »versprochen«, das es auf eine Stufe mit den Windows-Pendants stellen sollte.
Nach einer eingehenderen Analyse kommt RSA jedoch zu dem Schluss, dass der Trojaner bestenfalls als Prototyp zu sehen ist. So seien viele der versprochenen Funktionen gerade einmal in Ansätzen vorhanden. Die Entwickler implementierten einige einfache Maßnahmen, um eine Entdeckung oder Analyse zu verhindern. In mehreren Tests führte der Trojaner jedoch zu Aussetzern oder Abstürzen des Webbrowsers, was Benutzer eventuell misstrauisch machen könnte. Er ist außerdem ein 32-Bit-Programm, das unter 64-Bit-Systemen nicht läuft oder vielleicht nur, wenn diverse 32-Bit-Bibliotheken vorhanden sind.
Somit geht von Hand of Thief derzeit keine Gefahr aus. Ganz vernachlässigen darf man die Vorsicht vor Trojanern aber auch unter Linux nicht. Immerhin sieht es so aus, als würden die Entwickler ernsthafte Anstrengungen unternehmen, einen funktionsfähigen Trojaner aus ihm zu machen. So kommt die Malware mit einem Builder, mit dessen Hilfe neue Varianten des Trojaners erstellt werden können. Der Builder ist laut RSA ein Windows-Programm, das aber auch unter Linux mit Wine ausgeführt werden kann.
){kind=small}
