Categories: SicherheitVirus

Crypto-Miner für Linux stiehlt Root-Passwort und schaltet Virenschutz ab

Der russische Sicherheitsanbieter Dr. Web hat einen neuen Trojaner entdeckt, der nicht Windows, sondern Linux ins Visiert nimmt. Die als Linux.BtcMine.174 bezeichnete Schadsoftware zeichnet sich offenbar durch eine hohe Komplexität und eine Vielzahl von Funktionen aus, wie sie sonst nur bei Windows-Malware üblich ist. Für ihre Hintermänner soll sie letztlich aber in erster Linie Cryptowährungen schürfen.

Der Trojaner selbst ist ein Shell-Script mit mehr als 1000 Zeilen Code. Es ist zudem die erste Datei, die im Rahmen der Infektion auf einem Linux-System ausgeführt wird. In einem ersten Schritt sucht das Skript einen Ordner mit Schreibrechten, um sich dorthin zu kopieren und zu einem späteren Zeitpunkt weitere Module herunterzuladen.

Danach kommen zwei schon seit Jahren bekannte Sicherheitslücken zum Einsatz, die jeweils eine nicht autorisierte Ausweitung von Benutzerrechten ermöglichen. Darunter ist die Kernel-Schwachstelle mit der Kennung CVE-2016-5195 namens Dirty Cow, die zuletzt auch für Angriffe auf Android und Drupal-Websites benutzt wurde und einen Root-Zugriff erlaubt.

Die neuen vollständigen Benutzerrechte erlauben es dem Trojaner schließlich, sich als lokaler Daemon einzurichten und seine eigentliche Aufgabe zu erfüllen: das Schürfen von Cryptowährungen. Zu diesem Zweck prüft der Schädling, ob bereits andere Prozesse für das Cryptomining ausgeführt werden und beendet diese. Erst danach werden die für die Gewinnung der Cryptowährung Monero benötigten Komponenten heruntergeladen und gestartet.

Um sich vor einer Entdeckung zu schützen sucht der Trojaner aber auch nach aktiver Antivirensoftware für Linux und beendet deren Prozesse. Unter anderem geht der Trojaner gezielt gegen Produkte wie ClamAV, Avast, AVG, Eset und Dr. Web vor.

Darüber hinaus wird laut der Analyse von Dr. Web auch noch ein Rootkit installiert. Es hat die Fähigkeit, von Nutzern eingegebene Passwörter für den SU-Befehl auszulesen. Außerdem soll der Trojaner in der Lage sein, Dateien, Netzwerkverbindungen und laufende Prozesse zu verstecken.

Zum Funktionsumfang des Trojaners gehört aber auch eine Suche nach weiteren Servern, zu denen der infizierte Host via SSH eine Verbindung aufnehmen kann. Anschließend soll er versuchen, auch die entfernten Server zu infizieren, was laut Dr. Web auch der wichtigste Verbreitungsweg des Trojaners sein soll. Zu diesem Zweck soll der Trojaner auch SSH-Anmeldedaten ausspähen, um auch gut gesicherte SSH-Verbindungen zu knacken und weitere Linux-Systeme ohne Wissen der jeweiligen Eigentümer zu infizieren.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Nach NSO-Skandal: Israel verspricht strengere Export-Kontrollen für Cyber-Produkte

Auslöser ist ein weiterer Bericht über den Einsatz von NSO-Tools gegen US-Bürger. Israel untersagt nun…

10 Stunden ago

Erste zertifizierte Secured-Core Windows-Server verfügbar

Sie sind die Gegenstücke sie Secured-Core-PCs. Server mit Secured-Core-Zertifizierung nutzen ein Trusted Platform Module und…

10 Stunden ago

Jede Woche ein Betrugsversuch

Deutsche Verbraucher sind ständig im Visier von Cyberbetrügern. Die Gauner nutzen immer raffiniertere Methoden.

18 Stunden ago

G-Nachweis am Arbeitsplatz

Das Infektionsschutzgesetz verpflichtet Arbeitgeber dazu, die Covid-Zertifikate ihrer Mitarbeiter vor Betreten der Arbeitsstätte zu überprüfen…

18 Stunden ago

Kriminelle ködern mit Covid-Omikron

Cyberkriminelle nutzen neue Entwicklungen rund um das Corona-Virus als thematische Köder für digitale Angriffe verwenden,…

19 Stunden ago

Microsoft drängt Kunden mit höheren Preisen zu langfristigen Abonnements

Betroffen sind kommerzielle Angebote wie Microsoft 365, Windows 365 und Dynamics 365. Der Preisunterschied zwischen…

1 Tag ago