Wirenet: Trojaner klaut Linux- und Mac-OS-X-Passwörter – ist auch ein Keylogger

whois 212.7.208.65

Cyberkriminelle scheinen über Mac OS X auch langsam Interesse an Linux zu finden – gut kann auch eine Eintagsfliege sein, aber ein Novum ist es trotzdem. Es handelt sich laut der russischen Antiviren-Firma Doctor Web um den ersten Cross-Plattform-Trojaner, der sowohl unter Linux als auch Mac OS X läuft. Die Schadsoftware, als BackDoor.Wirenet.1 bezeichnet, versucht, Passwörter zu stehlen, die von diversen populären Internet-Appplikationen gespeichert sind.

Wie sich der Backdoor-Trojaner verbreitet ist aber laut eigenen Angaben noch unklar. Sobald die Malware gestartet ist, kopiert sie sich selbst in das Home-Verzeichnis des Anwenders.

• Mac OS X: %home%/WIFIADAPT.app.app
• Linux: ~/WIFIADAPT

Der Trojaner benutzt AES (Advanced Encryption Standard) für die Kommunikation und der kontrollierende Server hat die IP-Adresse 212.7.208.65. Eine whois-Abfrage hat ergeben, dass die IP-Adresse in Polen (Warschau) registriert ist. Administratoren und Firewall-Verwalter möchten diese Adresse vielleicht auf die schwarze Liste setzen.

BackDoor.Wirenet.1 funktioniert laut Doctor Web gleichzeitig als Keylogger und sammelt die Tastaturanschläge von Anwendern. Unter anderem klaut es die Passwort-Eingaben von Opera, Firefox, Chrome, Chromium, Thunderbird, SeaMoney und Pidgin.

Laut eigenen Angaben der Firma erkennt die Antiviren-Software den Trojaner und bietet auch Schutz-Software für Linux und Apples Mac OS X an. Zieht man das Positive dabei heraus: Die Virenschreiber erkennen Linux als Desktop-Betriebssystem an, was von Miguel de Icaza als tot erklärt wurde 🙂

Wirenet (Quelle: drweb.com)