Neuer Linux-Schädling attakiert SSH

Martin Schindler,
Malware (Bild: Shutterstock)

Der Schädling übernimmt den Rechner des Betroffenen und kann unter anderem für DDoS-Angriffe verwendet werden. Der russische Sicherheitsanbieter Dr. Web sieht hinter “Linux.BackDoor.Xnote.1″ die Hackergruppe ChinaZ zu. Die Angreifer schleusen über SSH Malware auf Linux-Systemen.

Der russische Sicherheitsanbieter Dr. Web meldet den neuen Linux-Trojaner “Linux.BackDoor.Xnote.1″. Der wird über eine SSH-Verbindung (Secure Shell) eingeschleust. Die Verbindung wird laut dem Sicherheitsanbieter über Brute Force erzwungen. Dr. Web schreibt den Schädling chinesischen Kriminellen der Hackergruppe ChinaZ zu.

“Linux.BackDoor.Xnote.1″ prüft laut dem Sicherheitsunternehmen zunächst, ob im System bereits eine Kopie der Backdoor läuft. Wird eine solche gefunden, bricht der Schädling die Aktion ab. Die Installation des Trojaners erfolge auch nur dann, wenn sie mit Root-Rechten gestartet wurde.Dr. Web. (Bild: Dr. Web)

Während der Installation erstellt der Trojaner laut Dr. Web eine Kopie von sich im Verzeichnis /bin/ mit dem Dateinamen iptable6und löscht gleichzeitig die originale Ausgangsdatei. Im Verzeichnis /etc/init.d/sucht der Schädling anschließend nach Scripten, die mit der Shebang-Zeile!#/bin/bash beginnen, und füge eine neue Zeile ein. Diese sollen für das Starten der Malware verantwortlich sein soll.

Für den Datenaustausch mit den Cyberkriminellen verwendet die Malware nach Angaben von Dr. Web folgende Methode: Sie sucht im Body-Teil ihres Programm-Codes nach einer Zeile, die auf einen verschlüsselten Datenblock hinweist und entschlüsselt diesen. Danach fragt sie darin befindliche Adressen von Befehlsservern (Command-and-Control-Servern) der Reihe nach ab, bis sie einen funktionierenden findet. Vor dem Übertragen von Datenpaketen werden diese durch den Schädling und dessen Kommandoserver über eine sogenannte zlib-Bibliothek komprimiert.

Im Anschluss sendet “Linux.BackDoor.Xnote.1″ laut Dr. Web zunächst Informationen zum infizierten System an den Server der Angreifer. Danach wartet er auf einen Befehl des Command-and-Control-Servers. Sieht dieser eine bestimmte Aufgabe vor, wird wiederum ein Prozess erstellt, der eine Verbindung zum Kommandoserver aufbaut und schließlich alle notwendigen Konfigurationsdaten für die Erfüllung seines Auftrags erhält.

Auf diese Weise soll “Linux.BackDoor.Xnote.1″ dem infizierten Rechner beispielsweise auf Befehl eine ID zuweisen oder DDoS-Angriffe wie SYN-, UDP- und HTTP-Flooding auf einen anderen Rechner mittels einer definierten IP-Adresse starten und abbrechen können. Ebenso sei die Backdoor in der Lage, ihre eigene ausführbare Binärdatei zu aktualisieren, Daten in einer weiteren Datei zu speichern oder sich selbst zu löschen.

Darüber hinaus sendet die Hintertür laut Dr. Web  – ebenfalls auf Kommando – Informationen zum Dateisystem eines infizierten PCs, etwa die Anzahl freier Datenblöcke, an seinen Befehlsserver. Laut dem Sicherheitsunternehmen kann der Linux-Schädling unter anderem auch Kommandos wie das Zählen oder Löschen bestimmter Dateien und Verzeichnisse ausführen.

Darüber hinaus sei der Trojaner in der Lage, eine Shell mit definierten Umgebungsvariablen zu starten, dem Befehlsserver Zugangsdaten zu übermitteln oder auf einem infizierten Rechner einen eigenen SOCKS-Proxy oder Portmap-Server zu starten. Die Virensignatur für den Schädling wurde laut Dr. Web bereits in dessen Virendatenbank aufgenommen.

[mit Material von Rainer Schneider, ITespresso.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de