Abo
  • Services:
Anzeige
Mumblehard verwandelt Linux- und BSD-Server in Spam-Verteiler.
Mumblehard verwandelt Linux- und BSD-Server in Spam-Verteiler. (Bild: ESET)

Mumblehard: Malware verwandelt Linux-Server in Spam-Bots

Mumblehard verwandelt Linux- und BSD-Server in Spam-Verteiler.
Mumblehard verwandelt Linux- und BSD-Server in Spam-Verteiler. (Bild: ESET)

Eine schwer aufzuspürende Malware mit dem Namen Mumblehard schaltet Linux- und BSD-Server zu einem Botnet zusammen, über das Spam verbreitet wird. Die Zahl der infizierten Rechner soll in den letzten Wochen stark angestiegen sein.

Anzeige

Die als Mumblehard bezeichnete Schadsoftware ist eigentlich eine Sammlung von Perl-Skripts. Weil sie zusätzlich in Binärdateien verwandelt werden, vergleicht das IT-Sicherheitsunternehmen ESET Mumblehard mit einer Matroschka-Puppe. ESET hat die Malware über sieben Monate beobachtet und warnt von einer zunehmenden Verbreitung. Vor allem Webserver mit den Betriebssystemen Linux und BSD seien Ziel der Infektionen.

In den letzten sieben Monaten haben die Experten bei ESET insgesamt fast 9.000 IP-Adressen entdeckt, die Teil des Botnets sind. Die Anzahl soll sich im letzten Halbjahr verdoppelt haben. In den ersten Aprilwochen sollen mehr als 3.000 neue IP-Adressen hinzugekommen sein.

Perl, verpackt in ELF

Das Ungewöhnliche an Mumblehard sei seine Verpackung, schreiben die Experten in ihrer Dokumentation. Die Malware selbst ist in Perl verfasst, wird aber in eine ELF-Binärdatei verpackt. Der dafür verwendete Packer ist in Assembler programmiert. Die Malware besteht aus zwei Komponenten: Ein Perlskript ist ausschließlich als Backdoor gedacht, das eine Verbindung zu den C&C-Servern herstellt und von dort Befehle entgegennimmt. Es läuft aber nicht als Daemon, sondern nistet sich als Cronjob ein, der alle 15 Minuten ausgeführt wird.

Die zweite Komponente ist ein ausgereifter Spamverteiler, der Anweisungen von C&C-Servern entgegennimmt und dorthin auch Berichte über seine Aktivitäten verschickt. Er wird über die Backdoor installiert. Er bleibt nicht die gesamte Zeit aktiv, sondern nur wenn er Anweisungen erhält, etwa eine zu versendende Spam-Mail und die dazugehörige Liste der Empfänger. Die Verbindung zu den C&C-Servern wird über ein integriertes Proxy aufgebaut. Die Malware selbst nistet sich in den Verzeichnissen /tmp oder /var/tmp ein.

Hartkodierte IP-Adressen

Die Backdoor-Komponente verbindet sich mit der IP-Adresse 194.54.81.163 über Port 80. Auch der Spammer nutzt diese IP-Adresse sowie 194.54.81.164. Die darüber laufenden Befehle werden in User Agent Strings versteckt, etwa Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1. Die Zeichenkette 20100101 enthält die Befehle "Herunterladen" und "Ausführen".

Das von den Angreifern genutzte Einfallstor seien unter anderem Schwachstellen in Joomla und Wordpress, vermuten die Experten. Es gebe aber auch Hinweise darauf, dass eine gecrackte Version der Software DirectMailer von Yellsoft genutzt wird, um die Malware zu verbreiten.

Administratoren sollten darauf achten, ob ihre Server sich mit den genannten IP-Adressen verbinden und nach verdächtigen Cronjob-Einträgen suchen.


eye home zur Startseite
mgutt 01. Mai 2015

Also sind die die illegal geladen haben, auch gleich bestraft worden. Und das sogar ohne...

LinuxMcBook 01. Mai 2015

Damit das System über Joomla etc. infiziert werden kann, muss ja neben einer uralten...

redmord 30. Apr 2015

Für diejenigen, die nicht verstehen, was der Autor versucht zu beschreiben: "Die darüber...

Proctrap 30. Apr 2015

Jop, das Problem fängt früh an ;)

Hotohori 30. Apr 2015

Zeigt halt wunderbar wie viele ahnungslose Menschen online unterwegs sind. Aber ist das...



Anzeige

Stellenmarkt
  1. Aarsleff Rohrsanierung GmbH, Röthenbach a.d. Pegnitz (Metropolregion Nürnberg)
  2. Stadtwerke Augsburg Holding GmbH, Augsburg
  3. Daimler AG, Sindelfingen
  4. Deloitte, verschiedene Standorte


Anzeige
Blu-ray-Angebote
  1. 299,99€ (Vorbesteller-Preisgarantie)
  2. 79,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Diamond Mega

    Randloses Topsmartphone mit zwei Dual-Kameras für 500 Euro

  2. Adobe

    Deep Fill denkt beim Retuschieren Bildelemente dazu

  3. Elektroautos

    Tesla will Autos in China bauen

  4. Mirai-Nachfolger

    Experten warnen vor "Cyber-Hurrican" durch neues Botnetz

  5. Europol

    EU will "Entschlüsselungsplattform" ausbauen

  6. Krack-Angriff

    AVM liefert erste Updates für Repeater und Powerline

  7. Spieleklassiker

    Mafia digital bei GoG erhältlich

  8. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  9. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  10. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Essential Phone im Test: Das essenzielle Android-Smartphone hat ein Problem
Essential Phone im Test
Das essenzielle Android-Smartphone hat ein Problem
  1. Teardown Das Essential Phone ist praktisch nicht zu reparieren
  2. Smartphone Essential Phone kommt mit zwei Monaten Verspätung
  3. Andy Rubin Essential gewinnt 300 Millionen US-Dollar Investorengelder

Pixel 2 und Pixel 2 XL im Test: Google fehlt der Mut
Pixel 2 und Pixel 2 XL im Test
Google fehlt der Mut
  1. Pixel Visual Core Googles eigener ISP macht HDR+ schneller
  2. Smartphones Googles Pixel 2 ist in Deutschland besonders teuer
  3. Pixel 2 und Pixel 2 XL im Hands on Googles neue Smartphone-Oberklasse überzeugt

Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

  1. Re: Scheint mir eigentlich ne gute Entwicklung ..

    Overlord | 08:31

  2. Re: Enttäuscht

    XunilUtnubu | 08:28

  3. Randloses Display ein fragwürdiger Trend

    Daem | 08:27

  4. Re: Mir kommt die Galle hoch

    drmccoy | 08:24

  5. Re: Besser als GTA

    DeathMD | 08:24


  1. 07:49

  2. 07:43

  3. 07:12

  4. 14:50

  5. 13:27

  6. 11:25

  7. 17:14

  8. 16:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel