Bot für Linux, FreeBSD und Mac (!)

Nach einer ersten Analyse fand der Experte Bojan Zdrnja von SANS nichts Ungewöhnliches. Es handle sich lediglich um einen Port eines bekannten IRC-Bots mit Namen EnergyMech. Bis zu diesem Zeitpunkt sei das Interessanteste der Fakt gewesen, dass der Entwickler den Schadcode für Mac (Darwin, ppc) und FreeBSD kompiliert hatte. Ebenso machte der Bot nur den für ihn kreierten Standard-Unsinn: verband sich zu Undernet, kommentierte in portugiesischer Sprache und hatte einige Besitzer definiert.

Aus Spaß an der Freude habe der SANS-Profi den Code durch VirusTotal laufen lassen. Er wollte lediglich wissen, wie Antiviren-Programm darauf reagierten. 23 von 32 Programmen erkannten die FreeBSD-Version. Dies sei nicht schlecht. Die Linux-Variante wurde sogar von 24 erkannt. Schockieren fand der Experte allerdings die Erkennung der Mac-Version. Kein einziges Programm erkannte die ausführbare Datei als schädlich. Zdrnja glaubt, dass die Antivirenprogramme nicht wussten, wie sie das Dateiformat der Mac-Variante parsen sollen. Es handelte sich um eine Mach-O-Datei für PPC. (jdo)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.