Der Angriff beginnt mit der Zusendung von E-Mail-Nachrichten, die Shellshock-Code enthalten. Dieser ist in die Felder „Von“, „An“, „CC“ und „Betreff“ eingefügt. Ist der SMTP-Server, an den eine solche Nachricht geschickt wird, angreifbar, wird der eingebettete Schadcode ausgeführt. Dieser löst das Herunterladen eines IRC-Bots aus und löscht sich anschließend selbst, um unentdeckt zu bleiben. Der IRC-Bot wiederum stellt eine Verbindung zu einem IRC-Server her, über die Angreifer auf dem Mailserver verschiedene Befehle ausführen wie zum Beispiel eine Spam-Kampagne, Denial-of-Service (DDoS)-Angriffe, Portscans oder Unix-Befehle starten können.
Betroffen sind die folgenden Mail-Serverumgebungen: qmail Message Tansfer Agent (MTA), exim MTA in früheren Versionen als 4 sowie Postfix MTA mit procmail inklusive Debian/Ubuntu Postfix.
Weitere Informationen
Weitere Informationen zu dem genannten Shellshock-Angriff stehen im deutschsprachigen Trend Micro-Blog zur Verfügung.