Java.Tomdep: Backdoor-Wurm greift Tomcat-Server an

Symantec hat einen neuen Wurm entdeckt, der sich selbst weiterverbreitet und auf infizierten Systemen eine Backdoor einrichtet. Allerdings greift Java.Tomdep nicht normale PCs an, sondern Server.

21. November 2013 um 09:56 Uhr / Jens Ihlenfeld

7 Kommentare News folgen (öffnet im neuen Fenster)

Wurm verbreitet sich über Tomcat-Server. (Bild: Symantec) — Wurm verbreitet sich über Tomcat-Server. Bild: Symantec

Java.Tomdep sei eine durchaus ungewöhnliche Erscheinung, schreiben Symantec Sicherheitsforscher in einem Blogeintrag(öffnet im neuen Fenster) : Der Wurm verhält sich wie viele, verbreitet sich von infizierten Systemen aus weiter, öffnet eine Backdoor und kann von den Angreifern per IRC-Server gesteuert werden. Dennoch gibt es bei Java-Tompdep einen kleinen Unterschied, denn es handelt sich um ein Java-Servlet, das sich von Server zu Server verbreitet. Ähnliche Server-Würmer seien bislang vor allen in PHP aufgefallen, so Symantec.

Bild 1/1: Verbreitung von Java.Tomdep (Quelle: Symantec)

Das Java-Servlet wird unter Apache Tomcat ausgeführt, erzeugt aber keine Website, sondern fungiert als IRC-Bot. Java.Tomdep öffnet eine IRC-Verbindung und führt Kommandos aus, die Angreifer auf diesem Weg an den Server senden. Es kann Standard-Aktionen wie Download und Upload ausführen, Prozesse, Socks-Proxys und UDP-Floods erzeugen und sich selbst aktualisieren. Infizierte Server können zudem nach anderen Tomcat-Servern suchen und diese infizieren.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Systemadministratorin bzw. IT-Systemadministrator (w/m/d) Clientinfrastruktur und -management Bundeskartellamt, Bonn (öffnet im neuen Fenster)

Hardwaretechniker / IT-Systemelektroniker (m/w/d) – Computer- & Servermontage sowie Reparatur Systerra Computer GmbH, Wiesbaden (öffnet im neuen Fenster)

Werkstudent Applikationslabor (m/w/d) Stahl Chemicals Germany GmbH, Leinfelden-Echterdingen (öffnet im neuen Fenster)

IT-Sicherheitsmanager (m/w/d) Mainzer Stadtwerke AG, Mainz (öffnet im neuen Fenster)

Praxisorientierte Weiterbildung GIS- und Geodatenexperte (m/w/d) GIS-Akademie GmbH, Hamburg (öffnet im neuen Fenster)

Senior Consultant SAP TM (w/m/d) dmTECH GmbH, Karlsruhe (öffnet im neuen Fenster)

Mitarbeiter (m/w/d) in der Anwendungsentwicklung KRAFTFAHRER-SCHUTZ e.V., München (öffnet im neuen Fenster)

Projektleiter elektrooptische Systeme für maritime Plattformen - unbemannt & bemannt (w/m/d) Hensoldt, Oberkochen (öffnet im neuen Fenster)

Nutzer, die Webseiten von einem infizierten Server aufrufen, sind nicht gefährdet. Die Symantec-Forscher vermuten, dass die Angreifer über das Botnetz DDoS-Angriffe abwickeln könnten. Die sogenannten Command-and-Control-Server stehen in Taiwan und Luxembourg. Die Zahl der infizierten Server sei derzeit klein und auf wenige Länder beschränkt, so Symantec.

Zur Startseite 7 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Relevante Themen