Erstmals haben Sicherheitsforscher Malware entdeckt, die zur Installation von Schadcode das Windows Subsystem for Linux (WSL) ausnutzt. Diese Art der Verbreitung von Linux-Schadcode war bisher nur Theorie - entsprechende Python-Dateien, die in das Binärformat ELF übersetzt wurden und bei Ausführung Schadcode in laufende Windows-Prozesse schleusen, wurden nun jedoch von einer Forschergruppe der US-amerikanischen Telekommunikationsfirma Lumen Technologies entdeckt.

Bei dem Schadcode soll es sich um echte, im Umlauf befindliche Malware handeln. Die Malware versuche erst, bekannte Anti-Viren-Programme auszuschalten, um anschließend mit einer externen IP-Adresse auf Ports im Bereich 39000 bis 48000 zu kommunizieren. Wahrscheinlich wurde sie zu Testzwecken entwickelt. Für die Ausführung auf dem Zielsystem muss das Opfer den Schadcode herunterladen und über WSL ausführen.

Der von Lumen beschriebene Schadcode soll zum Zeitpunkt seiner Entdeckung nur von einem der über 70 Virenscanner von VirusTotal entdeckt worden sein. Eine Version der Malware sei sogar von keinem der Scanner erkannt worden. Die Sicherheitsfirma Checkpoint hat bereits 2017 eine Möglichkeit zum Angriff von Windows über das WSL gefunden. Während derartige Angriffe damals nur reine Theorie waren, sollten AV-Hersteller und Admins von Systemen, auf denen WSL aktiviert ist, ab sofort mit gefährlicherer Malware rechnen.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE