148400

Windows-Malware läuft unter Linux

26.02.2009 | 16:59 Uhr |

Linux ist nicht Windows, also läuft Windows-Malware auch nicht unter Linux - so weit, so falsch. Linux enthält meist auch den Windows-Emulator Wine und der bietet auch für manchen Windows-Schädling genug, um Schaden anzurichten.

Es ist ein verbreiteter Irrglaube, Linux sei völlig sicher vor Windows-basierter Malware. Ein Experiment zeigt, dass der Windows-Emulator Wine genügend Funktionalität bietet, um einigen Windows-Schädlingen ein Sprungbrett zu liefern. Eigentlich dazu gedacht einige Windows-Programme unter Linux nutzen zu können, für es keinen nativen Ersatz gibt, kann Wine natürlich nicht zwischen gut oder böse unterscheiden und versucht erstmal jedes Programm auszuführen.

Lokesh Kumar vom Antivirushersteller McAfee hat mit verschiedener Windows-Malware unter Linux (Ubuntu 8.04) und Wine 1.0 experimentiert und berichtet über die Ergebnisse im McAfee Avert Blog . Dazu hat Kumar einen bunten Strauß von Schädlingen ausgewählt, die sich in Wine unterschiedlich wohl zu fühlen scheinen.

Dateiinfektoren , also klassische Viren, sind durch W32/Philis vertreten, der sich an andere EXE-Dateien anhängt und weitere Malware aus dem Internet herunter lädt. Das alles klappt auch unter Linux/Wine ohne Probleme. Der angelegte Autostart-Eintrag hätte allerdings unter Wine keinen Effekt. Binärdateien im Linux-ELF-Format scheint der Virus nicht zu infizieren. Andere Viren, die sich blind an alle Dateien hängen, dürften jedoch auch diese in Mitleidenschaft ziehen.

Autorun-Malware , die auf beschreibbaren Wechselmedien eine Datei "autorun.inf" anlegen und so beim Einlegen des Mediums unter Windows automatisch gestartet werden, habe auch wenig Probleme. Der als Vertreter dieser Gruppe eingesetzte Wurm "W32/Autorun.Worm.CP" legt die autorun.inf an und erzeugt einen Registry-Eintrag. der hat zwar unter Wine keinen Effekt, aber so lange der Schädling unter Linux/Wine ausgeführt wird, infiziert er angeschlossene Wechselmedien wie etwa USB-Sticks. Diese können dann den Wurm zu Windows-Rechnern weiter tragen.

Als Beispiel für Trojanische Pferde , die IRC (Internet Relay Chat) zur Kontaktaufnahme mit ihrem Herrn und Meister nutzen, dient "IRC/Contact". Der Kontakt mit dem IRC-Server funktioniert, die Kontrolle des Schädlings vom IRC-Server ebenso, wenn auch mit leichten Einschränkungen.

Keylogger und andere Passwortdiebe kommen hingegen nicht auf die Füße. Lokesh Kumar gibt an, keinen solchen Schädling gefunden zu haben, der unter Linux/Wine funktioniert. Das Abgreifen von Tastatureingaben erfordert offenbar eine so systemnahe Programmierung, dass es im Emulator nicht klappt.

Als Schutzmaßnahmen empfiehlt der Malware-Forscher Wine niemals mit root-Rechten (Systemadministrator) auszuführen. Da Wine automatisch diverse Verzeichnisse und Laufwerke einbindet, sollte man in Betracht ziehen, diese Verknüpfungen zu lösen. Vor allem jedoch sollte die Verknüpfung von Windows-Programmdateien (EXE, COM) mit Wine vermieden werden. Das würde nämlich bedeuten, dass ein schlichter Doppelklick (oder gar Einfachklick) beliebige Windows-Programme in Wine startet. Administratoren sollte sich gut überlegen, ob Wine überhaupt auf einem Linux-Server installiert werden sollte.

0 Kommentare zu diesem Artikel
148400