Ein Bildschirmschoner von Gnome-Look.org entpuppte sich bei genauerer Betrachtung als Malware.

Beim Installieren eines Bildschirmschoners von Gnome-Look.org bemerkte ein Ubuntu-Anwender ein merkwürdiges Verhalten: Abgesehen davon, dass der Screensaver nicht in der Liste von Gnomes Bildschirmschonern auftauchte, enthielt die Software ein Skript, das einige merkwürdige Ersetzungen vornahm.

Es holte unter anderem eine Datei namens Auto.bash von einem Server und installierte sie nach /usr/bin/ und eine Datei namens gnome.sh, die es in den Ordner /etc/profile.d/ steckte. Zugleich begann das Skript via Ping-Befehl, sehr große Pakete an einen bestimmten Server zu schicken. Vermutlich diente das Skript einer Denial-of-Service-Attacke (DOS) gegen einen anderen Server, der unter anderem Exploits für Massive Multiplayer Games wie World of Warcraft anbietet.

Der User postete seine Erkentnisse in den Ubuntu-Foren, mittlerweile ist die Software von Gnome-Look.org verschwunden. Das Rätselraten darum, was das Skript genau macht und wie man es entfernt, setzte sich aber im Forum fort. Offenbar installiert sich das Debian-Paket unter der Bezeichnung app5552. Um die Malware mitsamt den bösartigen heruntergeladenen Skripten zu entfernen, hilft die Eingabe von

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh /usr/bin/index.php /usr/bin/run.bash && sudo dpkg -r app5552

Generell zeigt das Beispiel einmal mehr: Wer ein sicheres System haben will, sollte keine Software außerhalb der offiziellen Paketquellen herunterladen oder vorher zumindest den Quellcode begutachten.