Malware auf Gnome-Look.org

Malware auf Gnome-Look.org

Böser Bildschirmschoner

Kristian Kißling
09.12.2009 Ein Bildschirmschoner von Gnome-Look.org entpuppte sich bei genauerer Betrachtung als Malware.

Beim Installieren eines Bildschirmschoners von Gnome-Look.org bemerkte ein Ubuntu-Anwender ein merkwürdiges Verhalten: Abgesehen davon, dass der Screensaver nicht in der Liste von Gnomes Bildschirmschonern auftauchte, enthielt die Software ein Skript, das einige merkwürdige Ersetzungen vornahm.

Es holte unter anderem eine Datei namens Auto.bash von einem Server und installierte sie nach /usr/bin/ und eine Datei namens gnome.sh, die es in den Ordner /etc/profile.d/ steckte. Zugleich begann das Skript via Ping-Befehl, sehr große Pakete an einen bestimmten Server zu schicken. Vermutlich diente das Skript einer Denial-of-Service-Attacke (DOS) gegen einen anderen Server, der unter anderem Exploits für Massive Multiplayer Games wie World of Warcraft anbietet.

Der User postete seine Erkentnisse in den Ubuntu-Foren, mittlerweile ist die Software von Gnome-Look.org verschwunden. Das Rätselraten darum, was das Skript genau macht und wie man es entfernt, setzte sich aber im Forum fort. Offenbar installiert sich das Debian-Paket unter der Bezeichnung app5552. Um die Malware mitsamt den bösartigen heruntergeladenen Skripten zu entfernen, hilft die Eingabe von

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh /usr/bin/index.php /usr/bin/run.bash && sudo dpkg -r app5552

Generell zeigt das Beispiel einmal mehr: Wer ein sicheres System haben will, sollte keine Software außerhalb der offiziellen Paketquellen herunterladen oder vorher zumindest den Quellcode begutachten.

Ähnliche Artikel

Kommentare
absolute pfade
Patrick (unangemeldet), Mittwoch, 09. Dezember 2009 14:28:27
Ein/Ausklappen

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app5552

Der Befehl kann so nicht ganz richtig sein.
Wäre besser wenn Ihr für index.php und run.bash auch absolute Pfade angeben würdet.


Bewertung: 267 Punkte bei 61 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: absolute pfade
Kristian (unangemeldet), Mittwoch, 09. Dezember 2009 15:12:22
Ein/Ausklappen

Stimmt, so wäre es besser:

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh /usr/bin/index.php /usr/bin/run.bash && sudo dpkg -r app5552

Allerdings löscht Auto.bash die index.php ohnehin, wenn ich das Skript richtig deute.


Bewertung: 277 Punkte bei 65 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Aktuelle Fragen

JQuery-Script läuft nicht mit Linux-Browsern
Stefan Jahn, 16.02.2018 12:49, 2 Antworten
Hallo zusammen, ...folgender goldener Code (ein jQuery-Script als Ergebnis verschiedener Exper...
XSane-Fotokopie druckt nicht mehr
Wimpy *, 30.01.2018 13:29, 0 Antworten
openSuse 42.3 KDE 5.8.7 Seit einem Software-Update druckt XSane keine Fotokopie mehr aus. Fehler...
TOR-Browser stürzt wegen Wikipedia ab
Wimpy *, 27.01.2018 14:57, 0 Antworten
Tor-Browser 7.5 based on Mozilla Firefox 52.8.0 64-Bit. Bei Aufruf von http: oder https://de.wi...
Wifikarte verhindert Bootvorgang
Maik Kühn, 21.01.2018 22:23, 1 Antworten
iwlwifi-7265D -26 failed to load iwlwifi-7265D -25 failed to load iwlwifi-7265D -24 failed to l...
sharklinux
Gerd-Peter Behrendt, 18.01.2018 23:58, 2 Antworten
Hallo zusammen, ich habe sharklinux von der DVD Installiert. 2x, jedesmal nach dem Reboot ist di...