DDos-Attacken in den Startlöchern
Sicherheitsexperten haben das Malware-Programm "Trinity v3", dass zur Ausführung von DDos-Attacken dient, auf über 400 Hosts gefunden. Trinity v3 wird über IRC kontrolliert. Noch haben nur "Testangriffe" gegen Universitäts-Seiten stattgefunden. Angriffe wie die von Anfang diesen Jahres, durch die unter anderem Ebay und Yahoo betroffen waren, blieben bislang aus.
Sicherheitsexperten haben das Malware-Programm "Trinity v3", dass zur Ausführung von DDos-Attacken dient, auf über 400 Hosts gefunden. Noch haben nur "Testangriffe" gegen Universitäts-Seiten stattgefunden. Angriffe wie die von Anfang diesen Jahres, durch die unter anderem Ebay und Yahoo betroffen waren, blieben bislang aus.
Trinity v3 wird über IRC (siehe Glossar) kontrolliert. In der Version, die das Sicherheitsteam X-Force untersucht hat, versteckt sich das Malware-Programm in einer Datei mit der Bezeichnung idle.so. Wenn diese aufgerufen wird, verbindet sie sich mit dem Port 6667 eines Undernet IRC-Servers. Sie gibt sich mit einem Nicknamen zu erkennen, der sich aus den ersten sechs Buchstaben des Host-Rechnernamens und drei zufällig gewählten Zeichen zusammensetzt. Dann wartet Trinity in einem IRC-Channel auf Anweisungen seines Programmierers. Sein Befehlssatz ermöglicht verschiedene Arten von Dos-Attacken (siehe Glossar). 50 mit der Malware befallene Hostrechner fanden sich alleine in einem der Undernet IRC-Channel. Wie viele verschiedene Versionen von Trinity sich im Umlauf befinden, ist nicht bekannt. Trinity v3 erhielt seinen Namen wegen folgendem Eintrags in seinem Code:
"trinity v3 by self (an idle mind is the devil's playground)"
Ein zweiter Teil der Malware ist ein Trojaner mit dem Dateinamen "uucico", der auf dem befallenen Rechner den Port 33270 offen hält und über diesen Port auf Anweisungen für Trinity wartet. (PC-WELT, 06.09.2000, meh)
