Dr. Web warnt vor funktionsreichem Linux-Trojaner

BetriebssystemSicherheitVirusWorkspace
Dr. Web Logo (Bild: Doctor Web)

Der Sicherheitsanbieter schreibt die “Linux.BackDoor.Xnote.1” genannte Hintertür der Hackergruppe ChinaZ zu. Die Angreifer nutzen die SSH-Verbindung, um Malware auf Linux-Systemen einzuschleusen. Der Schädling soll unter anderem in der Lage sein, Befehle von Kommandoservern entgegenzunehmen und DDoS-Angriffe zu starten.

Der russische Sicherheitsanbieter Dr. Web hat einen Linux-Trojaner namens “Linux.BackDoor.Xnote.1” entdeckt, der – wie für auf dieses Betriebssystem ausgelegte Schädlinge üblich – über eine SSH-Verbindung (Secure Shell) eingeschleust wird, nachdem Angreifer zuvor das Passwort eines entsprechenden Benutzerkontos geknackt haben. Dr. Web schreibt die Backdoor chinesischen Kriminellen der Hackergruppe ChinaZ zu.

Dr. Web Logo (Bild: Doctor Web)

“Linux.BackDoor.Xnote.1” prüft laut dem Sicherheitsunternehmen zunächst, ob im System bereits eine Kopie der Backdoor läuft. Wird eine solche gefunden, bricht der Schädling seine Eindringaktion ab. Die Installation des Trojaners erfolge ferner nur dann, wenn sie mit Root-Rechten gestartet wurde.

Während der Installation erstellt der Trojaner laut Dr. Web eine Kopie von sich im Verzeichnis /bin/ mit dem Dateinamen iptable6 und löscht gleichzeitig die originale Ausgangsdatei. Im Verzeichnis /etc/init.d/ suche der Schädling anschließend nach Szenarien, die mit der Shebang-Zeile !#/bin/bash beginnen, und füge eine neue Zeile ein, die für das Starten der Backdoor verantwortlich sein soll.

Für den Datenaustausch mit den Cyberkriminellen verwendet die Malware nach Angaben von Dr. Web folgende Methode: Sie sucht im Body-Teil ihres Programm-Codes nach einer Zeile, die auf einen verschlüsselten Datenblock hinweist und entschlüsselt diesen. Danach fragt sie darin befindliche Adressen von Befehlsservern (Command-and-Control-Servern) der Reihe nach ab, bis sie einen funktionierenden findet. Vor dem Übertragen von Datenpaketen werden diese durch den Schädling und dessen Kommandoserver über eine sogenannte zlib-Bibliothek komprimiert.

Im Anschluss sendet “Linux.BackDoor.Xnote.1” laut Dr. Web zunächst Informationen zum infizierten System an den Server der Autoren. Danach wartet er auf einen Befehl des Command-and-Control-Servers. Sieht dieser eine bestimmte Aufgabe vor, wird wiederum ein Prozess erstellt, der eine Verbindung zum Kommandoserver aufbaut und schließlich alle notwendigen Konfigurationsdaten für die Erfüllung seines Auftrags erhält.

Auf diese Weise soll “Linux.BackDoor.Xnote.1” dem infizierten Rechner beispielsweise auf Befehl eine ID zuweisen oder DDoS-Angriffe wie SYN-, UDP- und HTTP-Flooding auf einen anderen Rechner mittels einer definierten IP-Adresse starten und abbrechen können. Ebenso sei die Backdoor in der Lage, ihre eigene ausführbare Binärdatei zu aktualisieren, Daten in einer weiteren Datei zu speichern oder sich selbst zu löschen.

Darüber hinaus sendet die Hintertür Dr. Web zufolge – ebenfalls auf Kommando – Informationen zum Dateisystem eines infizierten PCs, etwa die Anzahl freier Datenblöcke, an seinen Befehlsserver. Laut dem Sicherheitsunternehmen kann der Linux-Schädling unter anderem auch Kommandos wie das Zählen oder Löschen bestimmter Dateien und Verzeichnisse ausführen.

Darüber hinaus sei der Trojaner in der Lage, eine Shell mit definierten Umgebungsvariablen zu starten, dem Befehlsserver Zugangsdaten zu übermitteln oder auf einem infizierten Rechner einen eigenen SOCKS-Proxy oder Portmap-Server zu starten. Die Virensignatur für den Schädling wurde laut Dr. Web bereits in dessen Virendatenbank aufgenommen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen