Crypto-Miner für Linux stiehlt Root-Passwort und schaltet Virenschutz ab

Der russische Sicherheitsanbieter Dr. Web hat einen neuen Trojaner entdeckt, der nicht Windows, sondern Linux ins Visiert nimmt. Die als Linux.BtcMine.174 bezeichnete Schadsoftware zeichnet sich offenbar durch eine hohe Komplexität und eine Vielzahl von Funktionen aus, wie sie sonst nur bei Windows-Malware üblich ist. Für ihre Hintermänner soll sie letztlich aber in erster Linie Cryptowährungen schürfen.

Der Trojaner selbst ist ein Shell-Script mit mehr als 1000 Zeilen Code. Es ist zudem die erste Datei, die im Rahmen der Infektion auf einem Linux-System ausgeführt wird. In einem ersten Schritt sucht das Skript einen Ordner mit Schreibrechten, um sich dorthin zu kopieren und zu einem späteren Zeitpunkt weitere Module herunterzuladen.

Danach kommen zwei schon seit Jahren bekannte Sicherheitslücken zum Einsatz, die jeweils eine nicht autorisierte Ausweitung von Benutzerrechten ermöglichen. Darunter ist die Kernel-Schwachstelle mit der Kennung CVE-2016-5195 namens Dirty Cow, die zuletzt auch für Angriffe auf Android und Drupal-Websites benutzt wurde und einen Root-Zugriff erlaubt.

Die neuen vollständigen Benutzerrechte erlauben es dem Trojaner schließlich, sich als lokaler Daemon einzurichten und seine eigentliche Aufgabe zu erfüllen: das Schürfen von Cryptowährungen. Zu diesem Zweck prüft der Schädling, ob bereits andere Prozesse für das Cryptomining ausgeführt werden und beendet diese. Erst danach werden die für die Gewinnung der Cryptowährung Monero benötigten Komponenten heruntergeladen und gestartet.

Um sich vor einer Entdeckung zu schützen sucht der Trojaner aber auch nach aktiver Antivirensoftware für Linux und beendet deren Prozesse. Unter anderem geht der Trojaner gezielt gegen Produkte wie ClamAV, Avast, AVG, Eset und Dr. Web vor.

Darüber hinaus wird laut der Analyse von Dr. Web auch noch ein Rootkit installiert. Es hat die Fähigkeit, von Nutzern eingegebene Passwörter für den SU-Befehl auszulesen. Außerdem soll der Trojaner in der Lage sein, Dateien, Netzwerkverbindungen und laufende Prozesse zu verstecken.

Zum Funktionsumfang des Trojaners gehört aber auch eine Suche nach weiteren Servern, zu denen der infizierte Host via SSH eine Verbindung aufnehmen kann. Anschließend soll er versuchen, auch die entfernten Server zu infizieren, was laut Dr. Web auch der wichtigste Verbreitungsweg des Trojaners sein soll. Zu diesem Zweck soll der Trojaner auch SSH-Anmeldedaten ausspähen, um auch gut gesicherte SSH-Verbindungen zu knacken und weitere Linux-Systeme ohne Wissen der jeweiligen Eigentümer zu infizieren.