> > > > Qnap NAS: Malware nutzt Zero-Day-Exploit

Qnap NAS: Malware nutzt Zero-Day-Exploit

Veröffentlicht am: von

qnap-logo

Nachdem Benutzer der Qnap-NAS-Systeme von Problemen bei Updates der Virenscanner und der Installation des QNAP-Malware-Removers berichteten, scheint der Grund dafür nun gefunden zu sein: Eine bis jetzt unbekannte Malware soll hinter den Schwierigkeiten stecken. 

Besagte Malware verhindert das Updaten der Virenscanner indem sie die Host-Datei manipuliert. Dabei werden mehr als 700 Domains in dieser hinterlegt und auf die IP-Adresse 0.0.0.0 aufgelöst. 

Folgender Auszug stammt aus der manipulierten Hostdatei: 

0.0.0.0 bugs.clamav.net
0.0.0.0 current.cvd.clamav.net
0.0.0.0 database.clamav.net
0.0.0.0 db.local.clamav.net
0.0.0.0 update.nai.com
0.0.0.0 db.ac.clamav.net
0.0.0.0 db.ac.ipv6.clamav.net
0.0.0.0 db.ac.big.clamav.net

Ebenfalls scheint die Malware den QNAP-Malware-Remover zu befallen. Im QNAP-Club-Forum wird berichtet, dass die Malware die aktuelle Version 3.4 der App überschreibt und durch eine App mit der Version 9.0 ersetzt. Auch der Versuch, ein “Downgrade” auf die offizielle Version 3.4 durchzuführen scheitert. Aktuell gibt es noch keine Stellungnahme seitens des Herstellers QNAP, obwohl bereits seit Ende Januar mehrere Sichtungen der besagten Malware aufgetaucht sind. Auch ist weiterhin unklar, wie die betroffenen Geräte infiziert wurden.   

Auf Reddit veröffentlichte ein Nutzer einen Link zum “Derek-Be-Gone-Script”. Das Script soll laut Autor von einem Qnap-Techniker während einer Teamviewer-Sitzung genutzt worden sein, um die besagte Malware zu entfernen. Das 146 Zeilen lange Script liegt in der Version 1.4 auf den offiziellen QNAP-Servern zum Download bereit. Es soll für das Entfernen der Malware sorgen und anschließend durch den Download des MalwareRemover_3.4.1_20190125_182348.zip-Archivs den QNAP-Malware-Remover erneut installieren. Es ist möglich, das Script direkt über die Kommandozeile herunterzuladen und auszuführen. Dafür muss folgender Befehl eingegeben werden: 

curl https://download.qnap.com/Storage/tsd/utility/derek-be-gone.sh | sh

Allerdings gilt hier zu beachten, dass niemals ein Script ohne vorherige Prüfung ausgeführt werden sollte. Ebenfalls ist unklar welche Gerätegruppen betroffen sind und ob besagtes Script uneingeschränkt verwendet werden kann. Zudem ist durch das Entfernen der Malware die Sicherheitslücke nicht geschlossen, durch welche es gelungen war den Host zu infizieren. So ist ein Neubefall jederzeit möglich. Da der Hersteller keinerlei Stellungnahme veröffentlicht hat, können wir aktuell betroffenen Usern nur zu Folgendem raten: Backup aller wichtigen Daten anlegen, dem Gerät wenn möglich keinen Zugang zum Internet gewähren und den NAS mit dem Script (v1.4) bereinigen. Alternativ kann das System komplett neu aufgesetzt werden. Die Verwendung des Scripts erfolgt allerdings ausdrücklich auf eigene Gefahr. Wir haben die v1.4 zwar ausgiebig untersucht und konnten dabei keine Anomalien feststellen, allerdings wurde besagtes Script nicht offiziell vom Hersteller veröffentlicht und so können auch wir nur vermuten dass es sich auf allen QNAP-Geräten gefahrlos verwenden lässt.

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (0)

Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

  • Samsung SSD 970 PRO im Test: Hält länger und arbeitet schneller

    Logo von IMAGES/STORIES/2017/SAMSUNG_970_PRO

    Eineinhalb Jahre nach dem Start löst Samsung die SSD 960 PRO ab und schickt den Nachfolger ins Rennen. Der soll nicht nur ein noch höheres Tempo bieten, sondern auch langlebiger sein. Dabei halten sich die technischen Neuerungen in Grenzen, in den Mittelpunkt wird vor allem der neue... [mehr]

  • Samsung SSD 970 EVO im Test: Neue Mittelklasse kommt der PRO nahe

    Logo von IMAGES/STORIES/2017/SAMSUNG_970_EVO

    Nicht nur zahlungskräftigen Enthusiasten will Samsung locken, auch ein Segment weiter unten will man keine Käufer an die Konkurrenz verlieren. Entsprechend wird nicht nur die PRO-Linie aufgefrischt, sondern mit der SSD 970 EVO auch die Mittelklasse. Die soll nicht nur höhere Transferraten... [mehr]

  • Samsung SSD 860 QVO im Test: QLC überzeugt noch nicht

    Logo von IMAGES/STORIES/2017/SAMSUNG_SSD_860_QVO

    Erst im Januar erneuerte Samsung sein Angebot an SATA-SSDs und sorgte so auch intern für Konkurrenz. Denn auch elf Monate später können die SSD 860 EVO und SSD 860 PRO noch mit vielen günstigen PCIe-Laufwerken mithalten, vor allem im Alltag. Nun reicht man mit der SSD 860 QVO ein... [mehr]

  • Intel SSD 760p 512 GB im Test: Dem Vorgänger klar überlegen

    Logo von IMAGES/STORIES/2017/INTEL_SSD_760P

    Intel und SSD bedeutete zuletzt in erster Linie hohe Preise in Verbindung mit fragwürdigem Nutzen für Privatanwender. Mit der SSD 760p richtet man sich aber endlich auch wieder dem Massenmarkt zu, der rund eineinhalb Jahre vom Vorgänger SSD 600p bedient worden ist. Die konnte seinerzeit im... [mehr]

  • Toshiba OCZ RC100 im Test: Kleine SSD mit klaren Vorzügen

    Logo von IMAGES/STORIES/2017/TOSHIBA_OCZ_RC100_02

    Kompakt, nicht zu teuer, aber auch nicht zu langsam: Mit der OCZ RC100 bringt Toshiba eine NVMe-SSD in den Handel, die in vielerlei Hinsicht bewusst anders sein soll. Das ermöglicht dem Unternehmen zufolge das Ansprechen einer ganz bestimmten Zielgruppe. Denn so mancher wird nach wie vor von den... [mehr]

  • Seagate Exos X12 & Toshiba Enterprise Capacity HDD 14 TB im Test

    Logo von IMAGES/STORIES/REVIEW_TEASER/SEAGATEEXOS12TB_TOSHIBAENTERPRISECAPACITY14TB_REVIEWTEASER

    Auch wenn SSDs sich immer mehr Marktanteile im Storage-Segment erobern können, so schreitet die Entwicklung bei Festplatten weiter voran, denn insbesondere im professionellen Umfeld ist der Bedarf nach immer größerer Kapazität ungebrochen. So ist es nicht verwunderlich, dass Festplatten neuer... [mehr]