Täglich über 10000 mit Trojanern infizierte Unix-Server, 500.000 gefährdete Computer

Laut ESET hat eine weit verbreitete Internetkriminalitätskampagne die Kontrolle über über 25.000 Unix-Server weltweit übernommen. Diese als „Operation Windigo“ bezeichnete böswillige Kampagne wird seit Jahren betrieben und verwendet eine Reihe hoch entwickelter Malware-Komponenten, die dazu dienen, Server zu hijacken, die Computer zu infizieren, die sie besuchen, und Informationen zu stehlen.

Der ESET-Sicherheitsforscher Marc-Étienne Léveillé sagt:

„Windigo gewinnt seit über zweieinhalb Jahren an Stärke, von der Sicherheitsgemeinschaft weitgehend unbemerkt, und hat derzeit 10.000 Server unter seiner Kontrolle. Täglich werden über 35 Millionen Spam-Nachrichten an die Konten unschuldiger Benutzer gesendet, wodurch Posteingänge verstopft und Computersysteme gefährdet werden. Schlimmer noch: Jeden Tag sind mehr als eine halbe Million Computer einem Infektionsrisiko ausgesetzt, da sie Websites besuchen, die durch von Operation Windigo gepflanzte Web-Server-Malware vergiftet wurden, und auf böswillige Exploit-Kits und Werbung umleiten. “

Natürlich ist es Geld

Der Zweck von Operation Windigo ist es, Geld zu verdienen durch:

  • Spam
  • Infizieren der Computer von Webbenutzern durch Drive-By-Downloads
  • Weiterleitung des Webverkehrs an Werbenetzwerke

Abgesehen vom Versenden von Spam-E-Mails versuchen Websites auf infizierten Servern, Windows-Computer mit Malware über ein Exploit-Kit zu infizieren. Mac-Benutzern werden Anzeigen für Dating-Websites bereitgestellt und iPhone-Besitzer werden zu pornografischen Online-Inhalten weitergeleitet.

Bedeutet dies, dass Desktop-Linux nicht infiziert wird? Ich kann nichts dazu sagen und berichten.

In Windigo

ESET veröffentlichte einen detaillierten Bericht mit den Untersuchungen und Malware-Analysen des Teams sowie Anleitungen, um festzustellen, ob ein System infiziert ist, und Anweisungen zur Wiederherstellung. Gemäß dem Bericht besteht Windigo Operation aus der folgenden Malware:

  • Linux / Ebury : Läuft hauptsächlich auf Linux-Servern. Es bietet eine Root-Backdoor-Shell und die Möglichkeit, SSH-Anmeldeinformationen zu stehlen.
  • Linux / Cdorked : Läuft hauptsächlich auf Linux-Webservern. Es bietet eine Backdoor-Shell und verteilt Windows-Malware über Drive-by-Downloads an Endbenutzer.
  • Linux / Onimiki : Läuft auf Linux-DNS-Servern. Domänennamen mit einem bestimmten Muster werden in eine beliebige IP-Adresse aufgelöst, ohne dass eine serverseitige Konfiguration geändert werden muss.
  • Perl / Calfbot : Läuft auf den meisten von Perl unterstützten Plattformen. Es ist ein leichter Spam-Bot, der in Perl geschrieben wurde.
  • Win32 / Boaxxe.G : eine Malware für Klickbetrug, und Win32 / Glubteta.M, ein generischer Proxy, werden auf Windows-Computern ausgeführt. Dies sind die beiden Bedrohungen, die per Drive-by-Download verbreitet werden.

Überprüfen Sie, ob Ihr Server ein Opfer ist

Wenn Sie ein Sys-Administrator sind, kann es sich lohnen, zu überprüfen, ob Ihr Server ein Windingo-Opfer ist. ETS bietet den folgenden Befehl an, um zu überprüfen, ob ein System mit der Windigo-Malware infiziert ist:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected” 

Falls Ihr System infiziert ist, wird empfohlen, die betroffenen Computer zu löschen und das Betriebssystem und die Software neu zu installieren. Pech, aber es ist die Sicherheit zu gewährleisten.

Empfohlen

Holen Sie sich Adobe Style Icons für 10 Open Source Creative Apps
2019
Endless zielt darauf ab, Linux dabei zu unterstützen, Endless People zu erreichen
2019
openSUSE ist jetzt auf dem Windows-Subsystem für Linux verfügbar
2019