Alt, aber effektiv: Neuer Wurm nutzt Linux-Compiler

EnterpriseSicherheit

Déjà-vu-Erlebnis der besonderen Art

Ein neuer Wurm nutzt eine seit 14 Jahren bekannte Technik – und schafft es damit, sich schneller zu verbreiten als andere Zeitgenossen. Die Malware macht sich – vorläufig – ausschließlich Linux-Rechner zur Beute.

Der Trick ist so simpel wie effektiv: Der Wurm Slapper enthält seinen eigenen Quellcode. Der Bösewicht sucht sich aus dem reichhaltigen Angebot im Internet Rechner aus, auf denen das Betriebssystem Linux und der Webserver Apache laufen. Zum Eindringen in den Rechner macht sich Slapper eine bekannte Sicherheitslücke des Verschlüsselungsprogramms OpenSSL zu nutze, die einen Stack Overflow erzeugt. Auf dem Zielrechner compiliert er seinen Quellcode mit dem fast immer vorhandenen Compiler gcc – und siehe da, damit entsteht eine auf allen Linux-Varianten lauffähige Version seiner selbst – die der Wurm anschließend startet. Damit beginnt das Spiel von neuem.

Der Compiler-Trick wurde erstmals 1988 angewandt, wie der Antivirenspezialist Kaspersky Labs mitteilt. Damals war es der Wurm “Morris”, der diese “innovative” Methode benutzt hat. Zwischenzeitlich hat sich kein weiterer Virus nach diesem Schema verbreitet – aber Kaspersky befürchtet, dass Slapper eine Welle von Neuentwicklungen nach dieser Masche lostreten könnte. Die Zielgruppe muss nicht auf Linux beschränkt bleiben: Schließlich sind vergleichbare C-Compiler heute auch auf vielen Rechnern unter Windows und Unix installiert.