Java.Tomdep: Backdoor-Wurm greift Tomcat-Server an

Symantec hat einen neuen Wurm entdeckt, der sich selbst weiterverbreitet und auf infizierten Systemen eine Backdoor einrichtet. Allerdings greift Java.Tomdep nicht normale PCs an, sondern Server.

Artikel veröffentlicht am ,
Wurm verbreitet sich über Tomcat-Server.
Wurm verbreitet sich über Tomcat-Server. (Bild: Symantec)

Java.Tomdep sei eine durchaus ungewöhnliche Erscheinung, schreiben Symantec Sicherheitsforscher in einem Blogeintrag: Der Wurm verhält sich wie viele, verbreitet sich von infizierten Systemen aus weiter, öffnet eine Backdoor und kann von den Angreifern per IRC-Server gesteuert werden. Dennoch gibt es bei Java-Tompdep einen kleinen Unterschied, denn es handelt sich um ein Java-Servlet, das sich von Server zu Server verbreitet. Ähnliche Server-Würmer seien bislang vor allen in PHP aufgefallen, so Symantec.

  • Verbreitung von Java.Tomdep (Quelle: Symantec)
Verbreitung von Java.Tomdep (Quelle: Symantec)
Stellenmarkt
  1. IT-Service- und Supportbetreuer (m/w/d)
    Psychiatrisches Zentrum Nordbaden, Wiesloch
  2. Technischer Produktmanager / Product Owner (m/w/d)
    VIVAVIS AG, Koblenz
Detailsuche

Das Java-Servlet wird unter Apache Tomcat ausgeführt, erzeugt aber keine Website, sondern fungiert als IRC-Bot. Java.Tomdep öffnet eine IRC-Verbindung und führt Kommandos aus, die Angreifer auf diesem Weg an den Server senden. Es kann Standard-Aktionen wie Download und Upload ausführen, Prozesse, Socks-Proxys und UDP-Floods erzeugen und sich selbst aktualisieren. Infizierte Server können zudem nach anderen Tomcat-Servern suchen und diese infizieren.

Nutzer, die Webseiten von einem infizierten Server aufrufen, sind nicht gefährdet. Die Symantec-Forscher vermuten, dass die Angreifer über das Botnetz DDoS-Angriffe abwickeln könnten. Die sogenannten Command-and-Control-Server stehen in Taiwan und Luxembourg. Die Zahl der infizierten Server sei derzeit klein und auf wenige Länder beschränkt, so Symantec.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bundestagswahl 2021
Die Parteien im Datenschutz-Check

Gesagt, getan? Wir haben geprüft, was CDU, SPD, Grüne, FDP, Linke und AfD zum Datenschutz fordern - und was sie selbst auf ihren Webseiten umsetzen.
Eine Analyse von Christiane Schulzki-Haddouti

Bundestagswahl 2021: Die Parteien im Datenschutz-Check
Artikel
  1. ARM: Apples M1 bekommt ausführliche Reverse-Engineering-Doku
    ARM
    Apples M1 bekommt ausführliche Reverse-Engineering-Doku

    Wie genau funktioniert Apples M1-Chip? Diese Frage hat ein Entwickler durch ausgiebiges Reverse Engineering versucht zu beantworten.

  2. Kryptowährung: Kampf um Markenrechte an Dogecoin
    Kryptowährung
    Kampf um Markenrechte an Dogecoin

    Die Dogecoin Foundation hatte offenbar vergessen, sich die Markenrechte an der Kryptowährung zu sichern. Jetzt erheben andere Anspruch.

  3. Leserumfrage: Wie wünschst du dir Golem.de?
    Leserumfrage
    Wie wünschst du dir Golem.de?

    Ob du täglich mehrmals Golem.de liest oder ab und zu: Wir sind an deiner Meinung interessiert! Hilf uns, Golem.de noch besser zu machen - die Umfrage dauert weniger als 10 Minuten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Club-Tage: Bis zu 15% auf TVs, PCs, Monitore uvm.) • Alternate (u. a. Razer Kraken X für Konsole 34,99€) • Xiaomi 11T 5G vorbestellbar 549€ • Saturn-Deals (u. a. Samsung 55" QLED (2021) 849,15€) • Logitech-Aktion: 20%-Rabattgutschein für ASOS • XMG-Notebooks mit 250€ Rabatt [Werbung]
    •  /