Mozilla-Mirror lieferte infizierte Software aus [Update]
Die Mozilla-Foundation warnt, dass ein südkoreanischer Download-Mirror mit einem Virus infizierte Pakete ausgeliefert hat.
Die Mozilla-Foundation warnt auf ihrer Sicherheitsseite, dass ein Mirror virenverseuchte Pakete ausgeliefert hat. Es handelt sich um die koreanisch lokalisierten Linux-Versionen der Mozilla Suite 1.7.6 sowie des Thunderbird 1.0.2. Diese waren auf einem koreanischen Download-Mirror mit dem Virus Linux.RST.b infiziert.
Da es sich jedoch um eine zu diesem Zeitpunkt schon veraltete Software-Version handelte, die zumal noch in die koreanische Sprache übersetzt ist, ist eine Infektion hier in Deutschland jedoch recht unwahrscheinlich.
Am 17. September wurden die Dateien durch bereinigte Fassungen ersetzt. Leider äußern sich die Mozilla-Entwickler nicht dazu, seit wann die infizierten Pakete auf dem Server lagen. Auch wie sie dorthin gelangten, bleibt unklar, also ob vielleicht die Kompilier-Maschine infiziert war oder Hacker in den Server eingebrochen sind. Es ist auch nicht eindeutig zu erkennen, ob es sich um einen offiziellen Download-Mirror handelte.
Der Virus Linux.RST.b ist schon alt, er wurde Anfang 2002 entdeckt. Bei Ausführung versucht er, alle Dateien im /bin- und aktuellen Verzeichnis zu infizieren. Hierbei werden die Datumsinformationen der Dateien auf den aktuellen Zeitpunkt der Infektion gesetzt. Die Größe der Dateien wächst dabei um 4096 Bytes. Die Mozilla-Entwickler raten betroffenen Linux-Benutzern, ihren Rechner auf Viren zu überprüfen.
Andere (kommerzielle) Anbieter können sich daran ein Beispiel nehmen: AMI ist seit fast einer Woche benachrichtigt, dass auf der Download-Seite ein Tool zur Identifizierung des eingesetzten Mainboards mit einem Virus verseucht ist. Nach wie vor steht nur eine mit dem Virus Parite infizierte Variante des Programms auf den Seiten von American Megatrends bereit.
Update:
Das Utility auf dem AMI-Server ist mittlerweile offenbar sauber. Die infizierte Version beim Test heute mittag kam vermutlich aus einem Proxy-Cache, der noch die infizierte Version zwischengespeichert hatte.
Siehe dazu auch:
- Sicherheitsmeldung der Mozilla Foundation
- Virenbeschreibung von McAfee
- kostenloser Linux-Virenscanner von Bitdefender
- kostenloser Linux-Virenscanner von AntiVir
- kostenloser Linux-Virenscanner von FRISK
- Testversion des Linux-Virenscanners von Kaspersky
- Open-Source-Linux-Virenscanner von ClamAV
Einige Virenscanner für Linux:
