Noch können Linux-Benutzer gelassen sein. Der unter anderem von Intrusec gefundene Trojaner verbreitet sich nicht wie Würmer selbständig und führt auf den infizierten Rechnern auch keine zerstörerischen Schadensroutinen aus. Zudem muss der digitale Störenfried noch manuell auf dem Rechner des Opfers installiert werden. Vor diesem Hintergrund gehen die Experten der Sicherheitsfirma davon aus, dass es sich bei dem Trojaner um eine erste Machbarkeitsstudie handelt, die das Konzept des "passiven Scanning" in der Praxis überprüfen soll. Später, so warnen die Spezialisten, sei dann mit ausgefeilteren Versionen zu rechnen, die dann eventuell mit zerstörerischen Programmroutinen gekoppelt sein würden.

In der vorliegenden Variante agiert Trojan 55808 beziehungsweise Stumbler wie "Distributed Port Scanner", die das Internet nach Rechnern mit gültigen IP-Adressen und offenen Ports durchsuchen. Dabei erschwert der Trojaner seine Entdeckung dadurch, dass er Spoofing-Techniken verwendet, um seine Herkunft zu verschleiern. Hierzu arbeitet er etwa mit einer falschen IP-Quelladresse und manipuliert die MAC-Adresse des Rechners auf dem er installiert ist. Eben dadurch ist der Trojaner jedoch nicht in der Lage, selbst die Bestätigungspakete von gefundenen offenen Rechnern zu empfangen.

Entlarvende Fenstergröße

Um an solche Rechneradressen zu kommen, bedient er sich eines Tricks: Über einen integrierten Sniffer analysiert er den Verkehr im eigenen Subnet und findet so Antwortpakete, die ein Trojaner von einem anderen Rechner ausgelöst hat. Die gesammelten Adressen versucht der Schädling dann an die IP-Adresse 12.108.65.76 zu senden, die jedoch nicht existiert. Netzadministratoren können den Schädling auch daran erkennen, dass er eine TCP-Fenstergröße von 55808 Bytes verwendet. (hi)