Een malware-familie genaamd Gates waarvan het bekend was dat het Linux-computers infecteerde blijkt ook Windows-machines te besmetten. De Gates-malware werd begin dit jaar voor het eerst ontdekt en blijkt besmette Linux-systemen voor het uitvoeren van DDoS-aanvallen te gebruiken.

De malware bestaat uit een hoofdonderdeel genaamd Gates en een aanvalsmodule genaamd Bill, een directe verwijzing naar Bill Gates. Tijdens een analyse van de malware ontdekte het Finse anti-virusbedrijf F-Secure een servicenaam die ook door Windows-malware wordt gebruikt. Verder onderzoek wees uit dat het om nagenoeg identieke malware-exemplaren bleek te gaan.

DNS-amplificatie

Zowel de Linux- als Windowsversie kunnen DNS-amplificatie bij het uitvoeren van DDoS-aanvallen toepassen. Bij DNS-amplificatie worden openstaande DNS-servers gebruikt om het verkeer naar de aangevallen websites of diensten te versterken. Een interessante eigenschap van deze malware, aldus het Russische anti-virusbedrijf Dr. Web. Volgens de Russische virusbestrijder valt de Gates-malware ook op vanwege een geraffineerde modulaire structuur die nog nooit eerder bij Linux-malware zou zijn aangetroffen.

Hoe de malware, die vooral in China actief zou zijn, zich verspreidt is onbekend. "Met multiplatform-malware zoals Gates is het altijd interessant om te zien hoe het wordt geïnstalleerd. Iets wat we nog niet volledig begrijpen", zegt Jarkko Palviainen van F-Secure. Voor zover bekend kan de malware zich niet automatisch verspreiden en maakt het ook geen gebruik van exploits om systemen over te nemen. Uit meldingen die de Finse virusbestrijder ontving zou de Gates-malware mogelijk zwakke SSH-wachtwoorden gebruiken om in ieder geval op Linux toegang tot het systeem te krijgen.