Der Antivirenhersteller Avast hat den ersten Banking-Trojaner für Linux einer detaillierten Analyse unterzogen. Dabei zeigte sich, dass der Trojaner-Entwickler einigen Aufwand betrieben hat, um sein Werk selbst vor geschulten Augen zu verstecken.
Der Aufbau von „Hand of Thief“. Das Gros des Codes ist verschlüsselt und wird erst freigegeben, wenn die Luft rein ist.
Es fängt damit an, dass die Linux-Malware Hand of Thief größtenteils verschlüsselt ist. Nach dem Start schaut sie sich erst mal ausführlich auf dem System um: Die Malware versucht herauszufinden, ob sie in einer virtuellen Maschine läuft – und damit potenziell unter Beobachtung eines Virenforscher steht. Hierzu durchsucht sie die von cpuinfo ausgegebenen Prozessorinformationen nach Zeichenfolgen wie „QEMU“. Die SCSI-Geräte durchfilzt sie unter anderem nach „VMWARE“. Wird der Schädling fündig, bricht er die Ausführung sofort ab. Das Gleiche geschieht auf Systemen, die mittels chroot abgesichert sind.