Binäre Vogelgrippe

Liebe Leserinnen und Leser,

ein gewaltiges Rauschen ging im April durch den Computer-Blätterwald. Was "Sicherheitsexperten schon lang befürchtet" hätten, sei jetzt eingetroffen: Ein Cross-Plattform-Virus infiziere Windows- und Linux-Systeme. Gar von einer "Pandemie" wollte eine der beiden größten deutschen PC-Zeitschriften wissen; die globale Rechner-Seuche "könnte auf einen Schlag 99,5 Prozent aller PCs befallen". Die angebliche Vogelgrippe für PCs – sie infiziert Linux-ELF- und Windows-PE-Binaries – trägt den schönen Doppelnamen Virus.Linux.Bi.a / Virus.Win32.Bi.a und war vom russischen Antivirus-Spezialisten Kaspersky Lab am 7. April entdeckt worden [1].

Eine Masseninfektion durch das als H5N1 für PCs gefeaturete Stück Malware dürfte aber wohl noch eine Zeit auf sich warten lassen. Tatsächlich handelt es sich bei Virus.Linux/Win32.bi.a lediglich um einen Proof of Concept (PoC), mit der ein Virenautor die grundsätzliche Machbarkeit eines solchen Programms demonstrieren wollte – mal wieder. Derartige Konzepte tauchen seit fünf Jahren mit schöner Regelmäßigkeit im März oder April auf (2001: Lindose/Winux, 2002: Metaphor). Anscheinend ist den Virenschreibern über die Osterfeiertage langweilig, Zeit also mal wieder für einen neuen Cross-Plattform-PoC.

Wie schon bei seinen Vorläufern handelt es sich auch beim neuesten Multi-Virus um einen eher mäßig gefährlichen Schädling: Über das Verzeichnis, in den er liegt, kommt er infektionstechnisch nicht hinaus; Daten zerstört er auch nicht. Während er unter Windows, das seine Benutzer ja standardmäßig mit administrativen Rechten ausstattet, zumindest theoretisch jede Datei des Systems infizierten könnte, bleibt er unter Linux auf den Rechte-Kontext des Benutzers beschränkt.

Davon abgesehen, dass das Virus "in the wild" praktisch nicht vorkommt, müssten Sie möglicherweise erst einmal ihr System patchen, um es überhaupt "einzufangen": Unter Kernel 2.6.16 funktioniert Virus.Linux/Win32.bi.a gar nicht. Statt über das Syscall-Interface der Glibc erledigt es seine Systemaufrufe über den alten int-0x80-Mechanismus des Kernels. Aufgrund eines Quirks in GCC geht jedoch bei der Rückkehr aus einem Systemaufruf der Inhalt des EBX-Registers verloren, die Schad-Software "stürzt ab".

Einmal von diesem Missgeschick informiert, nahm sich Linus Torvalds selbst der Sache an: Das zugrunde liegende Compiler-Problem sei grundsätzlich bekannt, man habe eine ganze Reihe von Kernel-Funktionen schon daraufhin angepasst. Dabei sei wohl sys_ftruncate() durchgerutscht, das der Virus nutze. Bei normalen Anwendungen käme dieses "Mis-Feature" nie zum Tragen, es "beiße" lediglich die Infektionslogik des Schädlings [2]. Kein Problem, meinte Torvalds – und lieferte postwendend einen Kernel-Patch, der dem Virus zum korrekten Ablauf verhilft.

Dass Entwickler einen Betriebssystemkern modifizieren, damit Schadsoftware besser funktioniert, dürfte wohl ein bisher einmaliger Vorgang sein. Er spricht aber für die Stärke des Open-Source-Entwicklungsmodells im allgemeinen und des Linux-Kernels im besonderen. Was bedeutet es aber für Linux und Viren? Dass man Linux-Malware ignorieren kann, weil sie nur als Open Source richtig tickt? Dass wir alle schnellstens Viren-Scanner installieren sollten?

Die Wahrheit liegt wohl irgendwo in der Mitte. Unix-artige Betriebssysteme sind aufgrund ihres Benutzer- und Rechtekonzepts grundsätzlich weniger anfällig für Schadsoftware als die Konkurrenz aus Redmond. Als Einfallstore ins System kommen zudem nahezu ausschließlich Backdoors und Exploits in Frage, wie eine aktuelle Studie von Kaspersky [3] zeigt. Wer also sein Linux laufend aktuell hält, auf überflüssige Dienste verzichtet und Software nur aus vertrauenswürdigen Quellen installiert, hat von Malware wenig zu befürchten – Multi-Viren hin, Multi-Viren her.

Herzliche Grüße,

Jörg Luther

Chefredakteur

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Mobilviren stehlen Daten

    Der russische Sicherheitsexperte Kaspersky Lab berichtet in seinem Malware-Report für Oktober 2011 von einem Anstieg der Schadsoftware, die sich gegen das Android-Betriebssystem richtet.
  • Schutzfaktor
    Was taugen Antiviren-Scanner unter Linux? 16 Kandidaten für den Firmen- und Heimeinsatz treten zum großen Vergleichstest an.
  • Mehr Schadprogramme für Linux
  • Geschenkt
    Wer von Windows auf Linux umsteigt, bei dem steht meist ein Virenscanner weit oben auf der Programm-Wunschliste. Sophos Anti-Virus für Linux "Free" befriedigt zwar dieses Bedürfnis, doch die Installation des Antiviren-Scanners macht nur im Einzelfall Sinn.
  • Mens sana
    Ist Linux sicherer gegen Schadsoftware als Windows? Nein, meint Chefredakteur Jörg Luther – es hat nur die schlaueren Anwender.
Kommentare

Infos zur Publikation

Lu07/2016: GIMP FÜR PROFIS

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Aktuelle Fragen

Mit Firewire Videos improtieren?
Werner Hahn, 09.06.2016 11:06, 5 Antworten
Ich besitze den Camcorder Panasonic NV-GS330, bei dem die Videos in guter Qualität nur über den 4...
lidl internetstick für linux mint
rolf meyer, 04.06.2016 14:17, 3 Antworten
hallo zusammen ich benötige eure hilfe habe einen lidl-internetstick möchte ihn auf linux mint i...
thema ändern
a b, 29.05.2016 16:34, 0 Antworten
Hallo Linuxer zuerst alle eine schönen Sonntag, bevor ich meine Frage stelle. Ich habe Ubuntu 1...
Ideenwettbewerb
G.-P. Möller, 28.05.2016 10:57, 0 Antworten
Liebe User, im Rahmen eines großen Forschungsprojekts am Lehrstuhl für Technologie- und Innova...
Welche Drucker sind Linux-mint kompatibel?
Johannes Nacke, 20.05.2016 07:32, 6 Antworten
Hallo Ihr Lieben, ich bitte um mitteilung welche Drucker Kompatibel sind mit Linux-Mint. LG Joh...