ESET warnt vor Spam-Schleuder Mumblehard ESET warnt vor Spam-Schleuder Mumblehard - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


30.04.2015 pi/Rudolf Felser

ESET warnt vor Spam-Schleuder Mumblehard

ESET-Forscher decken eine Verbindung zwischen Mumblehard, einer Malware die Linux- und BSD-Server zur Spam-Schleuder macht, und der Internetfirma Yellsoft auf.

So funktioniert Mumblehard.

So funktioniert Mumblehard.

© ESET

Der Security-Software-Hersteller ESET hat die Mumblehard-Malware bis ins Detail analysiert und stellt auf WeLiveSecurity detaillierte Einblicke dazu in einem Whitepaper (PDF) bereit. Die Untersuchungsergebnisse decken eine Verbindung zwischen der Internetfirma "Yellsoft" und der Mumblehard-Malware-Familie auf.

Die schon seit Ende 2009 aktive Mumblehard-Malware zielt auf Server ab, auf denen Linux- oder BSD-Systeme laufen. Sinn und Zweck der Malware ist es, infizierte Systeme als Spambots zu missbrauchen und darüber massenhaft Spam-Mails zu verschicken.

Als Einfallstore für die Schadsoftware dienen Verwundbarkeiten in veralteten Joomla- und Wordpress-Installationen. Die erste eingeschleuste Komponente ist eine Backdoor, die von einem "Command and Control"-Server (C&C Server) gesteuert wird. Das zweite Modul ist ein Spammer-Daemon, der über die Backdoor auf infizierte Server gespielt wird.

"Im Rahmen unserer Nachforschung fiel uns eine steigende Anzahl infizierter Systeme ins Auge, deren Besitzer wir umgehend kontaktierten", so der leitende ESET Forscher Marc-Etienne M. Léveillé. "Wir identifizierten in sieben Monaten mehr als 8.500 einzigartige IP-Adressen. Mit der Veröffentlichung unserer Analyse-Ergebnisse zeigen wir Betroffenen, womit sie es zu tun haben und wie befallene Server bereinigt werden können."

Die ESET Analyse ergab, dass eine Beziehung zwischen Mumblehard und Yellsoft besteht. Yellsoft verkauft die Software "DirectMailer", die in Perl geschrieben ist und genutzt wird, um Massen-Mails zu versenden.

Die erste Verbindung besteht darin, dass sich die IP-Adressen, die für beide Mumblehard-Komponenten als C&C-Server genutzt werden, im gleichen Adressbereich befinden wie der Webserver, der yellsoft.net hostet. Darüber stieß ESET auf Raubkopien von DirectMailer, die bei der Ausführung heimlich die Mumblehard-Backdoor installieren. Die Raubkopien wurden zudem von dem gleichen Packer verschleiert, der auch bei den schädlichen Komponenten von Mumblehard zum Einsatz kommt.

Betroffene sollten für alle Nutzer auf Servern nach unerwünschten Cronjob-Einträgen Ausschau halten. Dieser Mechanismus wird von Mumblehard genutzt, um die Backdoor alle 15 Minuten zu aktivieren.

ESET rät Server-Administratoren dazu, installierte Betriebssysteme und Applikationen wie Wordpress stets durch Updates und Patches aktuell und sicher zu halten. Ebenso sollte eine leistungsfähige Security-Software das System schützen. (pi)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • ITSDONE GRUPPE

    ITSDONE GRUPPE Office Software, Kaufmännische Software (ERP), Datenbanken, Server-Betriebssysteme, Programmiersprachen, Betriebssysteme für PCs, Netzwerk- und Systemüberwachung,... mehr
  • adesso Austria GmbH

    adesso Austria GmbH Öffentliche Verwaltung, Grundstoffindustrie, Großhandel, Finanzdienstleistungen, Fertigung, Produktion und Konstruktion, Druck- und Verlagswesen, Qualitätssicherung,... mehr
  • Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH

    Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH Wasser- und Energieversorgung, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Luft- und Raumfahrttechnik, Logistik, Konsumgüterindustrie,... mehr

Hosted by:    Security Monitoring by: