Wirenet: Trojaner klaut Linux- und Mac-OS-X-Passwörter – ist auch ein Keylogger
Cyberkriminelle scheinen über Mac OS X auch langsam Interesse an Linux zu finden – gut kann auch eine Eintagsfliege sein, aber ein Novum ist es trotzdem. Es handelt sich laut der russischen Antiviren-Firma Doctor Web um den ersten Cross-Plattform-Trojaner, der sowohl unter Linux als auch Mac OS X läuft. Die Schadsoftware, als BackDoor.Wirenet.1 bezeichnet, versucht, Passwörter zu stehlen, die von diversen populären Internet-Appplikationen gespeichert sind.
Wie sich der Backdoor-Trojaner verbreitet ist aber laut eigenen Angaben noch unklar. Sobald die Malware gestartet ist, kopiert sie sich selbst in das Home-Verzeichnis des Anwenders.
- Mac OS X: %home%/WIFIADAPT.app.app
- Linux: ~/WIFIADAPT
Der Trojaner benutzt AES (Advanced Encryption Standard) für die Kommunikation und der kontrollierende Server hat die IP-Adresse 212.7.208.65. Eine whois-Abfrage hat ergeben, dass die IP-Adresse in Polen (Warschau) registriert ist. Administratoren und Firewall-Verwalter möchten diese Adresse vielleicht auf die schwarze Liste setzen.
BackDoor.Wirenet.1 funktioniert laut Doctor Web gleichzeitig als Keylogger und sammelt die Tastaturanschläge von Anwendern. Unter anderem klaut es die Passwort-Eingaben von Opera, Firefox, Chrome, Chromium, Thunderbird, SeaMoney und Pidgin.
Laut eigenen Angaben der Firma erkennt die Antiviren-Software den Trojaner und bietet auch Schutz-Software für Linux und Apples Mac OS X an. Zieht man das Positive dabei heraus: Die Virenschreiber erkennen Linux als Desktop-Betriebssystem an, was von Miguel de Icaza als tot erklärt wurde 🙂