Trojanische Pferde in Quelltexten von libpcap und tcpdump

Die Houston Linux User Group (HLUG) hat in den Quellcodes von libpcap und tcpdump auf www.tcpdump.org trojanische Pferde gefunden. In dem Hinweis der HLUG heißt es zudem, dass auch einige Mirrors der Site mit den trojanischen Pferden verseucht sind. libpcap ist eine Library mit Funktionen für das Mitschneiden und Decodieren von Daten-Paketen in einem Netzwerk (packet sniffing), tcpdump ist ein Tool zum packet sniffing; beide Pakete sind in kommerziellen Unix-Derivaten, den freien BSD-Versionen und den Linux-Distributionen meist standardmäßig enthalten

Die in die Programme eingeschleusten trojanischen Pferde modifizieren das Configure-Skript (und bei libpcap auch gencap.c). Die veränderten Dateien laden ein C-Skript von mars.raketti.net, das anschließend kompiliert und gestartet wird. Dieses Programm versucht dann, eine Verbindung auf Port 1963 zu mars.raketti.net herzustellen. Ein sauberes libpcap-0.7.1 gibt es laut HLUG hier; für ein sauberes tcpdump empfiehlt die Gruppe entweder diese Version 3.6.2 oder Version 3.7.1. (pab)