Es ist nicht zuletzt die große Vielfalt im Linux-Bereich, die die Entwicklung von Schadsoftware schwer macht. Und wenn dann einmal ein Trojaner auftaucht, zielt er zumeist auf Server-Installationen ab – immerhin ist Linux hier am stärksten verbreitet. Insofern ist es bemerkenswert, dass in den vergangenen Tagen gleich zwei verschiedene Spionageprogramm für das freie Betriebssystem aufgetaucht sind.

Winnti

Vor wenigen Tagen sorgte ein Angriff gegen an der Frankfurter Börse arbeitenden Unternehmen für Aufregung. Forscher der Ruhr-Uni Bochum haben nun herausgefunden, dass die dabei verwendete Malware mit dem Namen "Winnti" nicht bloß auf Windows abzielte. Ist doch mittlerweile auch eine Linux-Variante aufgetaucht, die im Kern exakt die selben Schadfunktionen aufweist.

EvilGnome

Noch interessanter ist aber das zweite Beispiel: Die Sicherheitsfirma Intezer hat ein Stück Schadsoftware entdeckt, das man auf den Namen EvilGnome getauft hat. Diese nutzt den Erweiterungsmechanismus des GNOME-Desktops, um sich im System zu verankern. Anschließend kann sie unter anderem Screenshots erstellen, das Mikrofon aktivieren oder auch Dateien abgreifen.

Die Bedrohung durch EvilGnome ist derzeit aber relativ gering, da die Schadsoftware offenbar noch nicht fertig entwickelt wurde. So funktioniert etwa eine ebenfalls geplanter Keylogger derzeit noch nicht. Die Aufspürung und Entfernung ist ebenfalls relativ einfach: Ist die Überwachungssoftware installiert, findet sie sich unter dem Namen "gnome-shell-ext" im Verzeichnis "~/.cache/gnome-software/gnome-shell-extensions/". (apo, 25.7.2019)