Der russische Antivirus-Hersteller Kaspersky Labs berichtet in seinem Weblog, dass es auf den Download-Servern der Mozilla Stiftung einige Dateien gegeben habe, die mit dem Linux-Virus "RST.b" infiziert gewesen sein sollen. Die Dateien wurden inzwischen entfernt.
 |
|
| In Kooperation mit |  |
Betroffen waren demnach koreanische Versionen der Mozilla Suite 1.7.6 und des Mail-Programms Thunderbird 1.0.2 für Linux. Gefunden wurde der Virus in den Binärdateien mozilla-installer-bin aus dem Tar-Archiv mozilla-1.7.6.ko-KR.linux-i686.installer.tar.gz und mozilla-xremote-client aus dem Archiv thunderbird-1.0.2.tar.gz. Der Virus hält im Startverzeichnis und in /sbin nach ELF-Binaries Ausschau, um diese zu infizieren. Als Payload enthält der Virus Backdoor-Funktionen, um Script-Code aus dem Internet nachzuladen. Damit die Infizierung in Systemverzeichnissen unter Linux überhaupt gelingen kann, müssen Anwender den Virus natürlich als root ausführen - was bei Software-Installation auf Heim-Systemen aber die meisten Linux-Anwender tun.
Dies ist nicht das erste Mal, dass infizierte Dateien auf Download-Servern vermeintlich zuverlässiger und vertrauenswürdiger Anbieter entdeckt werden. So liegt beim Mainboard- und BIOS-Hersteller AMI (American Megatrends Inc.) trotz eines Hinweises immer noch ein Programm zur Identifizierung von Mainboards ("mbid14.exe") zum Download bereit, das mit dem Virus "Parite" infiziert ist.
Sie sollten daher auch Software von Anbietern, denen Sie vertrauen, ohne Ausnahme mit einem aktuellen Virenscanner überprüfen, bevor Sie sie starten oder installieren.
Offensichtlich ist dem Blog-Autor bei Kaspersky aber nicht klar, welche Server überhaupt betroffen sind: Eingeschmuggelt wurden die infizierten Dateien nicht auf mozilla.org, wie der Blog nahe legt, sondern auf http://mozilla.or.kr. Diese inoffizielle Seite ist von der koreanischen Mozilla-Community betrieben und steht in keinem Zusammenhang mit mozilla.org. Betroffen ist also ein externer Distributor mit eigenem Installer. Falls Anwender durch die manipulierten Installer-Dateien infiziert wurden, dürfte das Image von Mozilla dennoch einen Knacks bekommen.