Dr. Web entdeckt multifunktionalen Linux-Trojaner

Das Security-Unternehmen schreibt die "Linux.BackDoor.Xnote.1" genannte Malware der Hackergruppe ChinaZ zu. Die Cyberkriminellen verwenden demnach die SSH-Verbindung, um Malware auf Linux-Systemen einzuschleusen. Die Backdoor soll unter anderem Kommandos von Befehlsservern entgegennehmen und DDoS-Angriffe initiieren können.

Das russische Sicherheitsunternehmen Dr. Web warnt vor einem Trojaner namens „Linux.BackDoor.Xnote.1“. Wie für auf Linux-Systeme ausgelegte Schädlinge üblich, schleusen Angreifer die Malware über eine SSH-Verbindung (Secure Shell) auf den Rechner ein, nachdem sie zuvor schon das Passwort des jeweiligen Nutzerkontos knacken konnten. Dr. Web schreibt die Backdoor chinesischen Cyberkriminellen der Hackergruppe ChinaZ zu.

Dr. Web (Bild: Doctor Web)

Die Hintertür „Linux.BackDoor.Xnote.1“ prüft Dr. Web zufolge vorab, ob das System schon eine Kopie des Schadprogramms vorhält. Ist das der Fall, bricht der Trojaner seinen Kompromittierungsversuch ab. Außerdem kann das Einspielen des Trojaners ausschließlich mittels Root-Rechten erfolgen.

Während des Installationsvorgangs erstellt der Trojaner laut Dr. Web dann eine Kopie von sich im Verzeichnis /bin/ und verwendet dafür den Dateinamen iptable6. Gleichzeitig löscht er die zugehörige ursprüngliche Ausgangsdatei. Das Verzeichnis /etc/init.d/ sucht der Schädling daraufhin nach Szenarien ab, die mit der Shebang-Zeile !#/bin/bash anfangen, und fügt anschließend eine neue Zeile ein, welche für das Ausführen der Backdoor verantwortlich sein soll.

Um Daten mit den Malware-Autoren austauschen zu können, geht der Trojaner nach Angaben von Dr. Web wie folgt vor: Er sucht zunächst im Body-Teil seines Programm-Codes nach einer Zeile, die auf einen verschlüsselten Datenblock verweist und entschlüsselt diesen anschließend. Danach fragt er sukzessive darin befindliche Adressen von Befehlsservern (Command-and-Control-Servern) ab, bis er schließlich einen funktionierenden Server gefunden hat. Um möglichst viele Informationen übertragen zu können, werden die erforderlichen Datenpakete durch den Schädling und dessen Kommandoserver vor der eigentlichen Übermittlung zunächst mithilfe einer sogenannten zlib-Bibliothek komprimiert.

„Linux.BackDoor.Xnote.1“ sendet Dr. Web zufolge dann zuerst Informationen über das infizierte System an den Command-and-Control-Server der Kriminellen. Danach wartet er auf einen entsprechenden Befehl. Sieht der Kommandoserver eine bestimmte Aufgabe für den Trojaner vor, erstellt er einen Prozess, der wiederum eine Verbindung zwischen Server und Backdoor aufbaut, sodass das Schadprogramm dabei alle benötigten Konfigurationsdaten für die Erfüllung seines jeweiligen Auftrags erhält.

Damit soll „Linux.BackDoor.Xnote.1“ beispielsweise in der Lage sein, dem infizierten Rechner auf Befehl eine ID zuzuweisen oder einen DDoS-Angriff wie SYN-, UDP- oder HTTP-Flooding auf einen anderen Rechner mithilfe einer definierten IP-Adresse zu starten. Ebenso sei es der Malware dadurch möglich, ihre eigene ausführbare Binärdatei zu aktualisieren, Daten in einer weiteren Datei abzulegen oder aber sich selbst zu löschen.

Darüber hinaus sendet die Backdoor laut Dr. Web – ebenfalls jeweils auf Kommando – Informationen über das Dateisystem des infizierten PCs – beispielsweise über die Anzahl der freien Datenblöcke – an seinen Befehlsserver. Dem Sicherheitsunternehmen zufolge kann der Linux-Schädling außerdem auch Kommandos wie das Zählen oder Löschen bestimmter Dateien und Verzeichnisse ausführen.

Darüber hinaus sei der Trojaner in der Lage, eine Shell mit festgelegten Umgebungsvariablen zu starten, dem Befehlsserver Zugangsdaten zu übermitteln oder auf einem infizierten Rechner einen eigenen SOCKS-Proxy oder Portmap-Server zu starten. Die Virensignatur für den Schädling wurde laut Dr. Web bereits in dessen Virendatenbank aufgenommen.

[mit Material von ITespresso.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Dr. Web, Linux, Malware, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Rainer Schneider
Autor: Rainer Schneider
Redakteur
Rainer Schneider
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Dr. Web entdeckt multifunktionalen Linux-Trojaner

Kommentar hinzufügen
  • Am 13. Februar 2015 um 21:49 von oos

    Wie so schön im Artikel beschrieben steht benötigt das Schadrogramm dazu Rootrechte. Diese kann es erst erhalten, wenn es dass Paßwort fur den Rootzugang herausgefunden hat. Bleibt b also die Frage offen wie dass gelöst ist. Und natürlich zählt auch hierzu wieder die alte Laier.
    Wer ein manierliches Paßwort hat, in etwa eines das zum knacken 10-15 Jahre benötigt oft auf der sicheren Seite.

    • Am 14. Februar 2015 um 9:12 von Yup

      Gefährlicher Einbruch – Dieb benutzte Wohnungsschlüssel? ;-)

    • Am 14. Februar 2015 um 10:24 von Judas Ischias

      Das Problem mit den manierlichen Passwörtern ist, sind für die Mehrheit der Nutzer anscheinend sehr schlecht zu merken ;(

      Da man für etliche Konten, wie z.B. Amazon, E-Mail-Konto, Provider, Online-Banking, WhatsApp und Facebook, was wohl so die Mehrheit der User nutzt, auch unterschiedliche Passwörter benutzen sollte, ist das mit dem merken dieser Passwörter so eine Sache.

      Auf Handy, PC oder Notebook zu speichern, wo man dann im Internet unterwegs ist,sollte man auch nicht machen.

      Bleibt nur der Zettel, welcher sich dann bestimmt im Portemonnaie befindet, welches auch mal vergessen werden kann oder abhanden kommt.

      Also nimmt man doch wieder den Geburtstag, Name von Frau/Mann oder Freund/Freundin oder die Lieblingszahlen 12345678.

      • Am 15. Februar 2015 um 9:34 von oos

        Es ist wieder wie immer. Die Menschen wollen alles, sich aber mit nichts wirklich beschäftigen.
        Was ist denn am Passwort merken so schwierig?
        Es gibt so viele Möglichkeiten Passwörter zu bilden welche nicht einfach zu entschlüsseln und trotzdem zu merken sind. Man muss sich eben nur mal ein bisschen mit dem, Thema auseinander setzen. Aber das wollen die meisten nicht.

      • Am 17. Februar 2015 um 12:30 von Hugo Palm

        Die Fa. DataBecker hatte vor Jahren mal eine Software herausgegeben, mit der man mehrere (kryptische) Passwörter in einer Art Tabelle von z.B. 15×10 Zeichen „verstecken“ konnte. Diese Tabelle wurde in Scheckkartengröße ausgedruckt. Ein anderer kann mit diesen Tabellen nichts anfangen.
        So eine Karte benutze ich heute noch und ändere natürlich auch regelmäßig die mindestens 10-stelligen Passwörter.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *