Dr. Web entdeckt multifunktionalen Linux-Trojaner

Das russische Sicherheitsunternehmen Dr. Web warnt vor einem Trojaner namens „Linux.BackDoor.Xnote.1“. Wie für auf Linux-Systeme ausgelegte Schädlinge üblich, schleusen Angreifer die Malware über eine SSH-Verbindung (Secure Shell) auf den Rechner ein, nachdem sie zuvor schon das Passwort des jeweiligen Nutzerkontos knacken konnten. Dr. Web schreibt die Backdoor chinesischen Cyberkriminellen der Hackergruppe ChinaZ zu.

Die Hintertür „Linux.BackDoor.Xnote.1“ prüft Dr. Web zufolge vorab, ob das System schon eine Kopie des Schadprogramms vorhält. Ist das der Fall, bricht der Trojaner seinen Kompromittierungsversuch ab. Außerdem kann das Einspielen des Trojaners ausschließlich mittels Root-Rechten erfolgen.

Während des Installationsvorgangs erstellt der Trojaner laut Dr. Web dann eine Kopie von sich im Verzeichnis /bin/ und verwendet dafür den Dateinamen iptable6. Gleichzeitig löscht er die zugehörige ursprüngliche Ausgangsdatei. Das Verzeichnis /etc/init.d/ sucht der Schädling daraufhin nach Szenarien ab, die mit der Shebang-Zeile !#/bin/bash anfangen, und fügt anschließend eine neue Zeile ein, welche für das Ausführen der Backdoor verantwortlich sein soll.

Um Daten mit den Malware-Autoren austauschen zu können, geht der Trojaner nach Angaben von Dr. Web wie folgt vor: Er sucht zunächst im Body-Teil seines Programm-Codes nach einer Zeile, die auf einen verschlüsselten Datenblock verweist und entschlüsselt diesen anschließend. Danach fragt er sukzessive darin befindliche Adressen von Befehlsservern (Command-and-Control-Servern) ab, bis er schließlich einen funktionierenden Server gefunden hat. Um möglichst viele Informationen übertragen zu können, werden die erforderlichen Datenpakete durch den Schädling und dessen Kommandoserver vor der eigentlichen Übermittlung zunächst mithilfe einer sogenannten zlib-Bibliothek komprimiert.

„Linux.BackDoor.Xnote.1“ sendet Dr. Web zufolge dann zuerst Informationen über das infizierte System an den Command-and-Control-Server der Kriminellen. Danach wartet er auf einen entsprechenden Befehl. Sieht der Kommandoserver eine bestimmte Aufgabe für den Trojaner vor, erstellt er einen Prozess, der wiederum eine Verbindung zwischen Server und Backdoor aufbaut, sodass das Schadprogramm dabei alle benötigten Konfigurationsdaten für die Erfüllung seines jeweiligen Auftrags erhält.

Damit soll „Linux.BackDoor.Xnote.1“ beispielsweise in der Lage sein, dem infizierten Rechner auf Befehl eine ID zuzuweisen oder einen DDoS-Angriff wie SYN-, UDP- oder HTTP-Flooding auf einen anderen Rechner mithilfe einer definierten IP-Adresse zu starten. Ebenso sei es der Malware dadurch möglich, ihre eigene ausführbare Binärdatei zu aktualisieren, Daten in einer weiteren Datei abzulegen oder aber sich selbst zu löschen.

Darüber hinaus sendet die Backdoor laut Dr. Web – ebenfalls jeweils auf Kommando – Informationen über das Dateisystem des infizierten PCs – beispielsweise über die Anzahl der freien Datenblöcke – an seinen Befehlsserver. Dem Sicherheitsunternehmen zufolge kann der Linux-Schädling außerdem auch Kommandos wie das Zählen oder Löschen bestimmter Dateien und Verzeichnisse ausführen.

Darüber hinaus sei der Trojaner in der Lage, eine Shell mit festgelegten Umgebungsvariablen zu starten, dem Befehlsserver Zugangsdaten zu übermitteln oder auf einem infizierten Rechner einen eigenen SOCKS-Proxy oder Portmap-Server zu starten. Die Virensignatur für den Schädling wurde laut Dr. Web bereits in dessen Virendatenbank aufgenommen.

[mit Material von ITespresso.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de