News

Backdoor im unrealen IRC Server

Am Wochenende entdeckten die Entwickler des quelloffenen IRC-Servers UnrealIRCd einen Backdoor-Trojaner in ihrem öffentlich zugänglichen Mirror-Package. Abzurufen ist die vollständige Meldung auf ihrer Website,aber eine wichtige Aussage hat meine Aufmerksamkeit geweckt:

„Anscheinend erfolgte der Austausch des Downloads .tar.gz im November 2009 (zumindest bei einigen Mirrors). Bis vor kurzem wurde dies von niemandem bemerkt.”

Dies bedeutet praktisch, dass die trojanisierte Version 8 Monate lang zum Donwload zur Verfügung stand, bevor sie entdeckt wurde.

Obwohl die offiziellen Quellen gesäubert worden waren, wurde ich bei meiner Suche nach der Trojaner-Version nach nur wenigen Minuten fündig.

Der Schädling war relativ leicht zu erkennen, da er den folgenden MD5 aufwies:

752e46f2d873c1679fa99de3f52a274d Unreal3.2.8.1.tar.gz

Wie hatte der Backdoor-Trojaner also funktioniert? Hier ein Bruchstück des fraglichen Codes:

Código del servidor IRC infectado Unreal

Es wird deutlich, dass dazu lediglich zwei Zeilen Code nötig waren, plus weitere zwei Zeilen zur Definition der Bedingung, wann der Code eingefügt wird – dies erfolgt, wenn DEBUGMODE3 definiert ist.

In diesem Fall enthält das Modul „s_bsd.c” eine Funktion mit der Bezeichnung „read_packet”, die alle an den Server gesendeten Datenpakete zum Lesen erhält. Wird der Befehl „AB” erkannt (was in unserem Fall durch DEBUGMODE3_INFO definiert ist), werden die verbleibenden Daten im Puffer zwecks Ausführung via „system()“ direkt zum Betriebssystem gesendet. Ziemlich simpel und geradeheraus.

Die Moral der Geschichte? Zunächst einmal kann es bei den derzeitigen Applikationen mit Hunderttausenden von Zeilen leicht passieren, dass zwei kleine Zeilen eines Schadcodes übersehen werden. Dies geschieht nicht zum ersten Mal, und ich bin davon überzeugt, dass es dort draußen noch weitere quelloffene trojanisierte Applikationen gibt.

Erschreckend allerdings ist, dass es 8 Monate dauerte, bis es entdeckt wurde. Wie lange wird es wohl das nächste Mal dauern?

Backdoor im unrealen IRC Server

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach