Darlloz: Linux-Schädling bedroht auch M2M-Geräte

Martin Schindler,

Der Sicherheitsanbieter Symantec warnt vor dem relativ weit verbreiteten Linux-Wurm Darlloz. Der soll auch über eine Mining-Software für Krypto-Währungen verfügen.

Das Konzept von Darlloz. Quelle: Symantec
Das Konzept von Darlloz. Quelle: Symantec

Laut Symantec ist der Linux-Wurm Darlloz in der Lage, eine Open-Source-Mining-Software für Kryptowährungen nachzuladen und zu installieren. Davon betroffen sind Computer, die auf Intels x86-Architektur basieren. Auf Machine-to-Machine-Geräte (M2M) wie Router, Settop-Boxen und Überwachungskameras, die Darlloz angreifen kann, hat die Mining-Software keinen Einfluss.

Die Software werde ausschließlich für das Mining von Mincoins oder Dogecoins eingesetzt, schreibt Koaru Hayashi im Symantec-Blog. Bis Ende Februar hätten die Angreifer 42.438 Dogecoins und 282 Mincoins im Wert von insgesamt etwa 196 Dollar erzeugt. “Diese Beträge sind relativ gering für eine durchschnittliche Cybercrime-Aktivität, also gehen wir davon aus, dass der Angreifer seine Bedrohung für eine bessere Monetarisierung weiterentwickeln wird.”

Die Hintermänner von Darlloz haben sich laut Symantec die digitalen Währungen Mincoin und Dogecoin ausgesucht, weil sie den Algorithmus Scrypt verwenden, der das Mining auf Heim-PCs ermöglicht. Bekanntere Währungen wie Bitcoin benötigen für ein profitables Mining Systeme mit speziellen ASIC-Chips.

Darüber hinaus stellte Symantec fest, dass die neueste Darlloz-Version 13 verschiedene Kombinationen aus in Routern und Settop-Boxen voreingestellten Nutzernamen und Passwörtern kennt, um diese Geräte angreifen zu können. Die ursprünglichen Versionen des Wurms verfügten nur über acht Kombinationen.

Darlloz sei nun zudem in der Lage, eine im Januar bekannt gewordene Hintertür in Routern zu schließen, um zu verhindern, dass andere Schädlinge die Kontrolle über einen von Darlloz infizierten Router übernehmen, so Symantec weiter. Der Wurm lege dafür eine neue Firewall-Regel an, die den anfälligen Port blockiere.

Bis Ende Februar, also in einem Zeitraum von vier Monaten, entdeckte Symantec insgesamt 31.716 IP-Adressen, die mit Darlloz infiziert waren. In 43 Prozent der Fälle kompromittierte der Schädling Intel-basierte Computer oder Server mit Linux-Betriebssystem. 38 Prozent der Infektionen betrafen Router, Settop-Boxen, IP-Kameras und Drucker. Die Infektionen fanden sich in 139 Ländern, wobei Symantec die Hälfte aller mit Darlloz infizierten Systeme in China, den USA, Südkorea, Taiwan und Indien registrierte.

Ob ein Gerät infiziert ist, lässt sich laut Symantec daran erkennen, dass Darlloz einen HTTP-Web-Server einrichtet, der den Port 58455 nutzt, um sich zu verbreiten. Um das Risiko eines Angriffs zu minimieren, rät Symantec, voreingestellte Passwörter zu ändern, stets aktuelle Firmware-Versionen zu nutzen und auf Computern alle verfügbaren Sicherheitspatches zu installieren.

50 Prozent der Darlloz-Infektionen finden sich laut Symantec in China, den USA, Südkorea, Taiwan und Indien (Bild: Symantec).

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de