Windigo-Malware greift von 25.000 Linux-Servern an

Eine Malware hat weltweit nach bisherigen Erkenntnissen rund 25.000 Linux-Server infiziert und nutzt diese aus, um vor allem große Mengen an Spam an zahllose Nutzer zu verschicken. Entdeckt wurde die Malware-Kampagne, die von den Sicherheitsforschern "Operation Windigo" bezeichnet wird, von der Security-Firma ESET in Zusammenarbeit mit dem deutschen CERT-Bund, der Swedish National Infrastructure for Computing und anderen Einrichtungen.

Um die Rechner unter ihre Kontrolle zu bringen, haben die Kriminellen ein komplexes System an ausgeklügelten Malware-Komponenten entwickelt, teilten die Sicherheits-Experten mit. Zwar steht der Spam-Versand im Vordergrund, doch damit ist es nicht beendet: Die gekaperten Server versuchen auch, besuchende Computer zu infizieren und Informationen zu stehlen. Entdeckt wurde "Operation Windigo" unter anderem auch auf den Servern von cPanel, dem Anbieter eines Konfigurations-Tools für Webserver, und auf Kernel.org, wo die Linux-Kernel bereitgestellt werden.

Während Experten schon früh auf Teile von Windigo gestoßen sind, ist das gesamte Ausmaß und die Komplexität dieser Operation in den Fachkreisen bisher unentdeckt geblieben. "Windigo hat weitestgehend unbemerkt von der Sicherheitsgemeinde in mehr als zweieinhalb Jahren an Stärke gewonnen und die Kontrolle über 10.000 Server übernommen", erklärte ESET-Sicherheitsforscher Marc-Étienne Léveillé. "Mehr als 35 Millionen Spam-Nachrichten wurden jeden Tag an die E-Mail-Konten unschuldiger Nutzer geschickt."

Während Webseiten, die von Windigo infiziert wurden, nur Windows-Computer über ein Exploit-Kit mit Malware verseuchen können, versuchen die dahinterstehenden Kriminellen aber auch von den Nutzern anderer Systeme zu profitieren. So bekommen Mac-Nutzer Werbung für Dating-Seiten gezeigt, die nicht vom eigentlichen Seitenbetreiber kommt. iPhone-Besitzer werden hingegen auf Seiten mit pornografischen Inhalten umgeleitet.

Über 60 Prozent der weltweiten Webseiten laufen auf einem Linux-Server. ESET-Forscher fordern Webmaster und Systemadministratoren daher auf, ihre Systeme auf eine Infektion zu überprüfen. "Webmaster und IT-Fachkräfte haben generell viel um die Ohren. Deshalb tut es uns leid, dass wir ihnen noch mehr Arbeit machen - aber es ist wichtig", sagte Léveillé.

Mit einem Schnell-Check kann eine mögliche Infektion erkannt werden, so die ESET-Experten:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Im Falle einer festgestellten Infektion wird empfohlen, die betroffenen Computer komplett zu säubern und das Betriebssystem sowie die Software neu zu installieren. Es ist zwingend notwendig, neue Passwörter und private Schlüssel einzusetzen. Die bestehenden Zugangsdaten könnten kompromittiert sein. Horror, Monster, Wendigo Camus Altamirano