Rootkit befällt Linux-Server

Das Rootkit wurde von einem anonymen Opfer auf der «Full Disclosure»-Webseite veröffentlicht und von Experten von Kaspersky Labs und Crowdstrikeanalysiert. Dabei fanden sie heraus, dass das Rootkit jeder Antwort des Webservers einen Iframe beifügt, in dem dann eine verseuchte Webseite geladen wird. Diese versucht sodann das System des Surfers mit Malware zu infizieren. Betroffen sind vor allem Webserver, die mit einer 64-bittigen Linux-Version betrieben werden. Konkret wurde das Rootkit für Kernel der Version 2.6.32-5 kompiliert. Laut Georg Wicherski von Crowdstrike scheint das Rootkit keine Abwandlung eines bestehenden zu sein, sondern es muss sich um eine Auftragsarbeit handeln. Allerdings wird dem Autoren wenig Kenntnisse des Linux-Kernels attestiert. Aufgund der verwendeten Tools und Techniken muss das Rootkit zudem aus Russland stammen. Kaspersky Labs hat zudem mitgeteilt, dass die hauseigene Security-Software das Rootkit bereits aufspüren kann.