Script-Bot

Casper, der unfreundliche Perl-Geist

Das SANS Internet Storm Center untersucht derzeit ein schädliches Perl-Script, das sich auf UNIX-Systemen einnistet.

Ein Perl-Bot, der sich auf UNIX-Systemen tummelt, wurde einige Mal an SANS gemeldet. Dieser ist 110 KByte groß, was für ein Perl-Script ganz ordentlich ist und nennt sich CASPER RFI CRACK Bot v2.3. Der Bot scheint mittlerweile verbreitet genug zu sein. Einige Programmierer mit übeln Absichten sollen auch Teile des Scripts verwerten oder es entsprechend für eigene Anforderungen modifizieren.

Emerginthreats hat weitere Informationen und einige Snort-Signaturen, die dem Ungeziefer das "nach Hause telefonieren" austreiben sollen. Das Perl-Bot enthält auch andere PHP-RFI-Exploits (remote file inclusion). Der Schadcode wurde aber auch auf UNIX-Systemen gesichtet, wo gar kein PHP installiert war. SANS bittet um weitere Informationen, damit man dem Phänomen auf den Zahn fühlen kann. (jdo)