Categories: Sicherheit

Dr. Web entdeckt multifunktionalen Linux-Trojaner

Das russische Sicherheitsunternehmen Dr. Web warnt vor einem Trojaner namens „Linux.BackDoor.Xnote.1“. Wie für auf Linux-Systeme ausgelegte Schädlinge üblich, schleusen Angreifer die Malware über eine SSH-Verbindung (Secure Shell) auf den Rechner ein, nachdem sie zuvor schon das Passwort des jeweiligen Nutzerkontos knacken konnten. Dr. Web schreibt die Backdoor chinesischen Cyberkriminellen der Hackergruppe ChinaZ zu.

Die Hintertür „Linux.BackDoor.Xnote.1“ prüft Dr. Web zufolge vorab, ob das System schon eine Kopie des Schadprogramms vorhält. Ist das der Fall, bricht der Trojaner seinen Kompromittierungsversuch ab. Außerdem kann das Einspielen des Trojaners ausschließlich mittels Root-Rechten erfolgen.

Während des Installationsvorgangs erstellt der Trojaner laut Dr. Web dann eine Kopie von sich im Verzeichnis /bin/ und verwendet dafür den Dateinamen iptable6. Gleichzeitig löscht er die zugehörige ursprüngliche Ausgangsdatei. Das Verzeichnis /etc/init.d/ sucht der Schädling daraufhin nach Szenarien ab, die mit der Shebang-Zeile !#/bin/bash anfangen, und fügt anschließend eine neue Zeile ein, welche für das Ausführen der Backdoor verantwortlich sein soll.

Um Daten mit den Malware-Autoren austauschen zu können, geht der Trojaner nach Angaben von Dr. Web wie folgt vor: Er sucht zunächst im Body-Teil seines Programm-Codes nach einer Zeile, die auf einen verschlüsselten Datenblock verweist und entschlüsselt diesen anschließend. Danach fragt er sukzessive darin befindliche Adressen von Befehlsservern (Command-and-Control-Servern) ab, bis er schließlich einen funktionierenden Server gefunden hat. Um möglichst viele Informationen übertragen zu können, werden die erforderlichen Datenpakete durch den Schädling und dessen Kommandoserver vor der eigentlichen Übermittlung zunächst mithilfe einer sogenannten zlib-Bibliothek komprimiert.

„Linux.BackDoor.Xnote.1“ sendet Dr. Web zufolge dann zuerst Informationen über das infizierte System an den Command-and-Control-Server der Kriminellen. Danach wartet er auf einen entsprechenden Befehl. Sieht der Kommandoserver eine bestimmte Aufgabe für den Trojaner vor, erstellt er einen Prozess, der wiederum eine Verbindung zwischen Server und Backdoor aufbaut, sodass das Schadprogramm dabei alle benötigten Konfigurationsdaten für die Erfüllung seines jeweiligen Auftrags erhält.

Damit soll „Linux.BackDoor.Xnote.1“ beispielsweise in der Lage sein, dem infizierten Rechner auf Befehl eine ID zuzuweisen oder einen DDoS-Angriff wie SYN-, UDP- oder HTTP-Flooding auf einen anderen Rechner mithilfe einer definierten IP-Adresse zu starten. Ebenso sei es der Malware dadurch möglich, ihre eigene ausführbare Binärdatei zu aktualisieren, Daten in einer weiteren Datei abzulegen oder aber sich selbst zu löschen.

Darüber hinaus sendet die Backdoor laut Dr. Web – ebenfalls jeweils auf Kommando – Informationen über das Dateisystem des infizierten PCs – beispielsweise über die Anzahl der freien Datenblöcke – an seinen Befehlsserver. Dem Sicherheitsunternehmen zufolge kann der Linux-Schädling außerdem auch Kommandos wie das Zählen oder Löschen bestimmter Dateien und Verzeichnisse ausführen.

Darüber hinaus sei der Trojaner in der Lage, eine Shell mit festgelegten Umgebungsvariablen zu starten, dem Befehlsserver Zugangsdaten zu übermitteln oder auf einem infizierten Rechner einen eigenen SOCKS-Proxy oder Portmap-Server zu starten. Die Virensignatur für den Schädling wurde laut Dr. Web bereits in dessen Virendatenbank aufgenommen.

[mit Material von ITespresso.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Rainer Schneider

Seit September 2013 ist Rainer hauptsächlich für ITespresso im Einsatz, schreibt aber gerne auch mal hintergründige Artikel für ZDNet und springt ebenso gerne für silicon ein. Er interessiert sich insbesondere für die Themen IT-Security und Mobile. Sein beständiges Ziel ist es, die komplexe IT-Welt so durchsichtig und verständlich wie möglich abzubilden.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

6 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

22 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago