Dr. Web warnt vor funktionsreichem Linux-Trojaner

Rainer Schneider,
BetriebssystemSicherheitVirusWorkspace
Dr. Web Logo (Bild: Doctor Web)

Der russische Sicherheitsanbieter Dr. Web hat einen Linux-Trojaner namens “Linux.BackDoor.Xnote.1” entdeckt, der – wie für auf dieses Betriebssystem ausgelegte Schädlinge üblich – über eine SSH-Verbindung (Secure Shell) eingeschleust wird, nachdem Angreifer zuvor das Passwort eines entsprechenden Benutzerkontos geknackt haben. Dr. Web schreibt die Backdoor chinesischen Kriminellen der Hackergruppe ChinaZ zu.

Dr. Web Logo (Bild: Doctor Web)

“Linux.BackDoor.Xnote.1” prüft laut dem Sicherheitsunternehmen zunächst, ob im System bereits eine Kopie der Backdoor läuft. Wird eine solche gefunden, bricht der Schädling seine Eindringaktion ab. Die Installation des Trojaners erfolge ferner nur dann, wenn sie mit Root-Rechten gestartet wurde.

Während der Installation erstellt der Trojaner laut Dr. Web eine Kopie von sich im Verzeichnis /bin/ mit dem Dateinamen iptable6 und löscht gleichzeitig die originale Ausgangsdatei. Im Verzeichnis /etc/init.d/ suche der Schädling anschließend nach Szenarien, die mit der Shebang-Zeile !#/bin/bash beginnen, und füge eine neue Zeile ein, die für das Starten der Backdoor verantwortlich sein soll.

Für den Datenaustausch mit den Cyberkriminellen verwendet die Malware nach Angaben von Dr. Web folgende Methode: Sie sucht im Body-Teil ihres Programm-Codes nach einer Zeile, die auf einen verschlüsselten Datenblock hinweist und entschlüsselt diesen. Danach fragt sie darin befindliche Adressen von Befehlsservern (Command-and-Control-Servern) der Reihe nach ab, bis sie einen funktionierenden findet. Vor dem Übertragen von Datenpaketen werden diese durch den Schädling und dessen Kommandoserver über eine sogenannte zlib-Bibliothek komprimiert.

Im Anschluss sendet “Linux.BackDoor.Xnote.1” laut Dr. Web zunächst Informationen zum infizierten System an den Server der Autoren. Danach wartet er auf einen Befehl des Command-and-Control-Servers. Sieht dieser eine bestimmte Aufgabe vor, wird wiederum ein Prozess erstellt, der eine Verbindung zum Kommandoserver aufbaut und schließlich alle notwendigen Konfigurationsdaten für die Erfüllung seines Auftrags erhält.

Auf diese Weise soll “Linux.BackDoor.Xnote.1” dem infizierten Rechner beispielsweise auf Befehl eine ID zuweisen oder DDoS-Angriffe wie SYN-, UDP- und HTTP-Flooding auf einen anderen Rechner mittels einer definierten IP-Adresse starten und abbrechen können. Ebenso sei die Backdoor in der Lage, ihre eigene ausführbare Binärdatei zu aktualisieren, Daten in einer weiteren Datei zu speichern oder sich selbst zu löschen.

Darüber hinaus sendet die Hintertür Dr. Web zufolge – ebenfalls auf Kommando – Informationen zum Dateisystem eines infizierten PCs, etwa die Anzahl freier Datenblöcke, an seinen Befehlsserver. Laut dem Sicherheitsunternehmen kann der Linux-Schädling unter anderem auch Kommandos wie das Zählen oder Löschen bestimmter Dateien und Verzeichnisse ausführen.

Darüber hinaus sei der Trojaner in der Lage, eine Shell mit definierten Umgebungsvariablen zu starten, dem Befehlsserver Zugangsdaten zu übermitteln oder auf einem infizierten Rechner einen eigenen SOCKS-Proxy oder Portmap-Server zu starten. Die Virensignatur für den Schädling wurde laut Dr. Web bereits in dessen Virendatenbank aufgenommen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch :

Dr. Web stellt Malware-Scanner Dr. Web Katana vor

Ransomware verschlüsselt nun auch Linux-Rechner

Dr.Web stellt kostenloses Removal-Tool CureIt vor
Rainer Schneider
Autor: Rainer Schneider
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen