Die Meldung eines Trojaners, der Linux-Systeme kompromittieren soll, verbreitete sich schnell und auch im ubuntuusers.de-Forum kam es zu Nachfragen. Die auf IT-Sicherheit spezialisierte Tochtergesellschaft von EMC, RSA Security, hat den Trojaner „Hand of Thief“ (HoT) untersucht und gibt – vorerst – Entwarnung.
In einem Blogartikel 🇬🇧 erklärt der RSA-Mitarbeiter Yotam Gottesman, seines Zeichens Senior Executive Researcher bei RSA, dass die Software den Preis von 2.000 US-Dollar nicht wert sei.
So soll der Trojaner Eigenschaften besitzen, die ihn vor einem Start in einer virtuellen Maschine oder unter Beobachtung von Wireshark schützen. Gut für die Linux-Anwender sei jedoch, dass der Schädling entgegen den Verlautbarungen seiner Entwickler den Dienst auf den meisten Linux-Distributionen verweigert.
Wie das Linux-Magazin schreibt, ließ das manuell mit HoT infizierte Fedora den Browser Google Chrome regelmäßig abstürzen oder fing mit Firefox nur leere Informationen ab.
Weiter schreibt das Linux-Magazin, dass unter Ubuntu offensichtlich ein ptrace-Mechanismus den Start der Malware komplett verhinderte. Funktionen wie eine eingebaute Reverse-Shell funktionierten zwar, doch auch hier fanden sich Informationen wie der Name der Malware, so dass diese leicht zu identifizieren sei.
Das für die Entwickler nicht nette, für die Anwender jedoch positive Fazit der RSA besagt, dass HoT keine Gefahr und auch kein Machbarkeitsnachweis darstellt. Man könnte die Software höchstens als Vorab- oder Entwicklungsversion bezeichnen, läuft diese doch nicht auf den meisten Linux-Systemen.
Auch eine mehr oder weniger selbstständige Verbreitung gibt es nicht – Anwender müssten eine Installation der Malware selbst durchführen. Dazu lässt sich „Hand of Thief“ leicht vom System entfernen, da man dazu einfach nur die schädlichen Dateien entfernen muss.
Das Linux-Magazin meint: „Vielmehr scheint der Trojaner der Beweis für eine starke Nachfrage bei geringen Angeboten zu sein: Mit zunehmender Verbreitung von Linux-Systemen werden die auch für die kriminelle Branche interessant, doch scheint es noch immer keine funktionierenden Angebote für Pinguin-Parasiten zu geben“.
Jürgen vom Blog „BitBlokes“ hat aus dem RSA-Blog eine Liste zusammengestellt, was genau der Trojaner auf welchem Linux konnte und was nicht
