Guten Abend,
seit einiger Zeit habe ich ja einen Amun Honeypot auf meinem Home Server laufen. In dieser Zeit hat der gute Topf rund 300 Binarys gecatched. Ich habe nun einen Virenscan mit ClamAV durchgeführt.
Hier ist der vollständige Log:
[download#2]
Daraus habe ich nun eine Statistik erstellt:
- Kolabc 3
- Virut.* 166
- Poebot 3
- Mybot 6
- Exploit.Shellcode 12
- Padobot 5
- SdBot 19
- PcClient 2
- Broken.Executable 25
- Agent 10
- Kolab 1
- Exploit.DCOM 2
- Banwarum 1
- Proxy 1
- Parite 2
- Trojan.Small 3
- IRCBot 2
- Vanbot 1
- Pakes 1
Auffällig hierbei ist wohl der Virut Wurm, welcher mit 166 Auftritten schon weit vorne liegt. Keine Ahnung was das genau für ein Wurm oder Bot ist, aber er scheint sich recht häufig zu verbreiten. Daneben wird natürlich auch noch der klassische SdBot genutzt, allerdings trat dieser nur 19 mal auf. Rund 25 von den Binarys sind defekt, ich denke mal das sie beim FTP/TFTP/HTTP Transfer nicht komplett übertragen wurden sind. Exploitcode wird ebenfalls recht häufig übertragen, hierbei 14 mal. Dicht darauf gibt es noch einige Agenten, das könnten unteranderem verschlüsselte Trojaner oder Viren sein, welche deshalb nicht eindeutig vom Scanner erkannt werden. Der Rest der Malware sind eher Exokten, vielleicht auch noch Überbleibsel früherer Botnetze…
Fazit:
Den Virut Wurm werde ich mal im Auge behalten und eventuell ein wenig genauer Betrachten und Analysieren, wer weiß, was dahinter tolles stecken könnte.
Nun denn, ich wünsche noch eine gute Nacht und süße Träume.
P.S.
Wer Interesse an den Binarys hat, soll sich bei mir melden. Ich würde diese Online stellen, jedoch weiß ich nicht, wie es bei soetwas mit der Rechtslage aussieht…
