Malware auf Gnome-Look.org

Malware auf Gnome-Look.org

Böser Bildschirmschoner

Kristian Kißling
09.12.2009 Ein Bildschirmschoner von Gnome-Look.org entpuppte sich bei genauerer Betrachtung als Malware.

Beim Installieren eines Bildschirmschoners von Gnome-Look.org bemerkte ein Ubuntu-Anwender ein merkwürdiges Verhalten: Abgesehen davon, dass der Screensaver nicht in der Liste von Gnomes Bildschirmschonern auftauchte, enthielt die Software ein Skript, das einige merkwürdige Ersetzungen vornahm.

Es holte unter anderem eine Datei namens Auto.bash von einem Server und installierte sie nach /usr/bin/ und eine Datei namens gnome.sh, die es in den Ordner /etc/profile.d/ steckte. Zugleich begann das Skript via Ping-Befehl, sehr große Pakete an einen bestimmten Server zu schicken. Vermutlich diente das Skript einer Denial-of-Service-Attacke (DOS) gegen einen anderen Server, der unter anderem Exploits für Massive Multiplayer Games wie World of Warcraft anbietet.

Der User postete seine Erkentnisse in den Ubuntu-Foren, mittlerweile ist die Software von Gnome-Look.org verschwunden. Das Rätselraten darum, was das Skript genau macht und wie man es entfernt, setzte sich aber im Forum fort. Offenbar installiert sich das Debian-Paket unter der Bezeichnung app5552. Um die Malware mitsamt den bösartigen heruntergeladenen Skripten zu entfernen, hilft die Eingabe von

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh /usr/bin/index.php /usr/bin/run.bash && sudo dpkg -r app5552

Generell zeigt das Beispiel einmal mehr: Wer ein sicheres System haben will, sollte keine Software außerhalb der offiziellen Paketquellen herunterladen oder vorher zumindest den Quellcode begutachten.

Ähnliche Artikel

Kommentare
absolute pfade
Patrick (unangemeldet), Mittwoch, 09. Dezember 2009 14:28:27
Ein/Ausklappen

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app5552

Der Befehl kann so nicht ganz richtig sein.
Wäre besser wenn Ihr für index.php und run.bash auch absolute Pfade angeben würdet.


Bewertung: 259 Punkte bei 57 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: absolute pfade
Kristian (unangemeldet), Mittwoch, 09. Dezember 2009 15:12:22
Ein/Ausklappen

Stimmt, so wäre es besser:

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh /usr/bin/index.php /usr/bin/run.bash && sudo dpkg -r app5552

Allerdings löscht Auto.bash die index.php ohnehin, wenn ich das Skript richtig deute.


Bewertung: 271 Punkte bei 61 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Aktuelle Fragen

Broadcom Adapter 802.11n nachinstallieren
Thomas Mengel, 31.10.2017 20:06, 2 Antworten
Hallo, kann man nachträglich auf einer Liveversion, MX Linux auf einem USB-Stick, nachträglich...
RUN fsck Manually / Stromausfall
Arno Krug, 29.10.2017 12:51, 1 Antworten
Hallo, nach Absturz des Rechners aufgrund fehlendem Stroms startet Linux nicht mehr wie gewohn...
source.list öffnet sich nicht
sebastian reimann, 27.10.2017 09:32, 2 Antworten
hallo Zusammen Ich habe das problem Das ich meine source.list nicht öffnen kann weiß vlt jemman...
Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 6 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...