Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

25.07.2003 - 

Neuer Schädling ist noch eine Machbarkeitsstudie

Linux-Trojaner scannt das Netz

BOSTON (IDG) - Sicherheitsexperten warnen vor einem Trojaner, der auf Linux-Rechnern läuft. Zwar richtet der als "Trojan 55808" oder "Stumbler" bekannte Störenfried keinen direkten Schaden an, sorgt aber für unnötigen Netzverkehr.

Noch können Linux-Benutzer gelassen sein. Der unter anderem von Intrusec gefundene Trojaner verbreitet sich nicht wie Würmer selbständig und führt auf den infizierten Rechnern auch keine zerstörerischen Schadensroutinen aus. Zudem muss der digitale Störenfried noch manuell auf dem Rechner des Opfers installiert werden. Vor diesem Hintergrund gehen die Experten der Sicherheitsfirma davon aus, dass es sich bei dem Trojaner um eine erste Machbarkeitsstudie handelt, die das Konzept des "passiven Scanning" in der Praxis überprüfen soll. Später, so warnen die Spezialisten, sei dann mit ausgefeilteren Versionen zu rechnen, die dann eventuell mit zerstörerischen Programmroutinen gekoppelt sein würden.

In der vorliegenden Variante agiert Trojan 55808 beziehungsweise Stumbler wie "Distributed Port Scanner", die das Internet nach Rechnern mit gültigen IP-Adressen und offenen Ports durchsuchen. Dabei erschwert der Trojaner seine Entdeckung dadurch, dass er Spoofing-Techniken verwendet, um seine Herkunft zu verschleiern. Hierzu arbeitet er etwa mit einer falschen IP-Quelladresse und manipuliert die MAC-Adresse des Rechners auf dem er installiert ist. Eben dadurch ist der Trojaner jedoch nicht in der Lage, selbst die Bestätigungspakete von gefundenen offenen Rechnern zu empfangen.

Entlarvende Fenstergröße

Um an solche Rechneradressen zu kommen, bedient er sich eines Tricks: Über einen integrierten Sniffer analysiert er den Verkehr im eigenen Subnet und findet so Antwortpakete, die ein Trojaner von einem anderen Rechner ausgelöst hat. Die gesammelten Adressen versucht der Schädling dann an die IP-Adresse 12.108.65.76 zu senden, die jedoch nicht existiert. Netzadministratoren können den Schädling auch daran erkennen, dass er eine TCP-Fenstergröße von 55808 Bytes verwendet. (hi)