Een Trojaans paard dat Linux-servers besmet is na de Verenigde Staten en Oekraïne het actiefst in Nederland. Hoe de malware zich precies verspreidt laat het Russische anti-virusbedrijf Dr. Web niet weten, maar de Trojan zou zich als een library bestand voor 32-bit en 64-bit versies van Linux-distributies voordoen. Is de malware actief, dan injecteert die code in de SSH daemon.
Zodra een gebruiker op het systeem inlogt worden inloggegevens naar een remote server doorgestuurd. Het adres van deze server staat hard geprogrammeerd in de malware, maar daarnaast wordt er ook een nieuw adres gegenereerd. Hiervoor gebruikt de SSHdkit een opmerkelijke routine.
Besmetting
Het gaat om een speciaal algoritme om twee DNS namen te genereren. Als die beiden naar hetzelfde IP-adres wijzen, wordt dat adres naar een ander IP-adres geconverteerd waar de gestolen informatie naar toe wordt gestuurd.
Begin maart werden 476 geïnfecteerde Linux-servers ontdekt. Daarvan bevinden de meeste, 132, zich in de Verenigde Staten. De Oekraïne is met 37 tweede, gevolgd door Nederland met 29 servers (6,1%).
Deze posting is gelocked. Reageren is niet meer mogelijk.