Trickreicher Linux-Trojaner von Dr. Web entdeckt

(Bild: Dr. Web)

Dr. Web hat mit dem Linux.BackDoor.Xnote.1 einen Linux-Trojaner entdeckt, der sich über eine SSH-Verbindung ins fremde System kopieren kann. Das klappt natürlich nur, wenn das Passwort des Benutzers zuvor bekannt wurde. Das fiese Stück Software soll von der Hackergruppe ChinaZ kommen.

Dr. Web warnt vor einer Trojaner-Software namens Linux.BackDoor.Xnote.1. Das Programm versucht zunächst, ob das anvisierte Ziel schon infiziert ist. Ist das der Fall, bricht es den Angriff ab.

Ansonsten wird eine SSH-Verbindung aufgebaut, bei der das Kennwort des Benutzeraccounts genutzt wird. Ohne dieses klappt der Angriff selbstredend nicht. Das Kennworthacken ist auch nicht im Funktionsumfang des Virus enthalten – es muss auf anderen Wegen erbeutet werden. Zudem muss Root-Zugang erlangt werden, weil der Schädling sich sonst nicht installiert.

Der Sicherheitsanbieter schreibt die “Linux.BackDoor.Xnote.1″ genannte Hintertür der Hackergruppe ChinaZ zu. Die Angreifer nutzen die SSH-Verbindung, um Malware auf Linux-Systemen einzuschleusen. Der Schädling soll unter anderem in der Lage sein, Befehle von Kommandoservern entgegenzunehmen und DDoS-Angriffe zu starten.

Während der Installation erstellt der Trojaner laut Dr. Web eine Kopie von sich im Verzeichnis /bin/ mit dem Dateinamen iptable6 und löscht gleichzeitig die originale Ausgangsdatei. Im Verzeichnis /etc/init.d/ suche der Schädling anschließend nach Szenarien, die mit der Shebang-Zeile !#/bin/bash beginnen, und füge eine neue Zeile ein, die für das Starten der Backdoor verantwortlich sein soll.

Für den Datenaustausch mit den Cyberkriminellen verwendet die Malware nach Angaben von Dr. Web folgende Methode: Sie sucht im Body-Teil ihres Programm-Codes nach einer Zeile, die auf einen verschlüsselten Datenblock hinweist und entschlüsselt diesen. Danach fragt sie darin befindliche Adressen von Befehlsservern (Command-and-Control-Servern) der Reihe nach ab, bis sie einen funktionierenden findet. Vor dem Übertragen von Datenpaketen werden diese durch den Schädling und dessen Kommandoserver über eine sogenannte zlib-Bibliothek komprimiert.

Im Anschluss sendet “Linux.BackDoor.Xnote.1″ laut Dr. Web zunächst Informationen zum infizierten System an den Server der Autoren. Danach wartet er auf einen Befehl des Command-and-Control-Servers. Sieht dieser eine bestimmte Aufgabe vor, wird wiederum ein Prozess erstellt, der eine Verbindung zum Kommandoserver aufbaut und schließlich alle notwendigen Konfigurationsdaten für die Erfüllung seines Auftrags erhält.

Auf diese Weise soll “Linux.BackDoor.Xnote.1″ dem infizierten Rechner beispielsweise auf Befehl eine ID zuweisen oder DDoS-Angriffe wie SYN-, UDP- und HTTP-Flooding auf einen anderen Rechner mittels einer definierten IP-Adresse starten und abbrechen können. Ebenso sei die Backdoor in der Lage, ihre eigene ausführbare Binärdatei zu aktualisieren, Daten in einer weiteren Datei zu speichern oder sich selbst zu löschen.

Darüber hinaus sendet die Hintertür Dr. Web zufolge – ebenfalls auf Kommando – Informationen zum Dateisystem eines infizierten PCs, etwa die Anzahl freier Datenblöcke, an seinen Befehlsserver. Laut dem Sicherheitsunternehmen kann der Linux-Schädling unter anderem auch Kommandos wie das Zählen oder Löschen bestimmter Dateien und Verzeichnisse ausführen.

Darüber hinaus sei der Trojaner in der Lage, eine Shell mit definierten Umgebungsvariablen zu starten, dem Befehlsserver Zugangsdaten zu übermitteln oder auf einem infizierten Rechner einen eigenen SOCKS-Proxy oder Portmap-Server zu starten. Die Virensignatur für den Schädling wurde laut Dr. Web bereits in dessen Virendatenbank aufgenommen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

[Mit Material von Rainer Schneider, ITespresso.de]

Tags :Quellen:ITespresso

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising