Symantec: Windows-Schadsoftware löscht Linux-Installationen

Ein Kommentar Autor: Jürgen (jdo)

Matrix Teaser 150x150In den Untersuchungen über die Cyber-Angriffe auf Banken in Südkorea und Broadcasting-Organisationen, haben die Sicherheitsexperten eine weitere Komponente innerhalb des Schadcodes gefunden. Diese löscht Linux-Installationen.

Der Dropper für Trojan.Jokra enthält laut Aussage von Symantec ein Modul, um Linux-Rechner unbrauchbar zu machen – und das Remote. Das sei ungewöhnlich, weil man normalerweise in Windows-Schadcode keine Komponenten findet, die Plattform-übergreifend funktionieren.

Das Modul prüft Windows-7- und Windows-XP-Rechner, ob eine Software mit Namen mRemote vorhanden ist. Die Open-Source-Software hat eine Konfigurations-Datei, die unter folgendem Pfad gespeichert ist: %UserProfile%\Local Settings\Application Data\Felix_Deimel\mRemote\confCons.xml.

Der Dropper durchkruscht die XML-Datei nach Verbindungen mit root-Rechten und benutzt diese Parameter dann weiter.

Danach kopiert der Dropper ein Bash-Script in den Ordner %Temp%\~pr1.tmp, lädt die Datei dann auf den Linux-Rechner und führt die Datei als /tmp/cups auf dem entfernten Computer auch. Das Bash-Script prüft auch auf SunOS, AIX und HP-UX. Der Schadcode löscht die Verzeichnisse /kernel, /usr, /etc und /home.

Die Untersuchungen sind noch nicht abgeschlosse und Symantec will weitere Informationen zur Verfügung stellen, sobald man weitere Erkentnisse gewonnen hat.




 Alle Kommentare als Feed abonnieren

Ein Kommentar zu “Symantec: Windows-Schadsoftware löscht Linux-Installationen”

  1. tux. says:

    Schadsoftware? Den Schaden kann ich nicht erkennen.