FÜR NUTZER

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Suche
Suche

Support
Support 24/7 | Regeln zur Anfragenübermittlung

Schreiben Sie uns

Online-Formular

Telefon

+49 (0) 170 488 40 28

Forum

Ihre Anfragen

Neue Anfrage

Rufen Sie uns an

+7 (495) 789-45-86

Profil

DE

RU CN DE EN ES FR IT JP KZ UZ PL BY
Schließen
News

News nach thema

News über Viren & Co.
Die Wahrheit über Viren & Co.
Newsticker
Presse

Zurück zu News

Doctor Web entdeckt Linux-Trojaner, der in Googles Programmiersprache geschrieben ist

Frankfurt, 8. August 2016

Die Sicherheitsanalysten von Doctor Web haben einen neuen Linux-Trojaner entdeckt, der auf dem infizierten PC Mining-Software für Kryptowährungen startet. Die Besonderheit des Schädlings besteht darin, dass er in Googles Programmiersprache Go geschrieben wurde.

Der Trojaner Linux.Lady.1 ist in der Lage, folgende Funktionen zu übernehmen: externe IP-Adressen von infizierten Rechnern bestimmen, Rechner gezielt angreifen, Mining-Malware für Kryptowährungen herunterladen und starten. Linux.Lady.1 ist in Googles Programmiersprache Go geschrieben. Gefährliche Applikationen, die in dieser Sprache geschrieben sind, sind auch früher vorgekommen, dafür aber selten. In seiner Architektur nutzt der Trojaner vielfältige Bibliotheken, die auf GitHub verfügbar sind.

screen #drweb

Nach dem Start von Linux.Lady.1 übermittelt er Daten zur Version des installierten Betriebssystems Linux, Anzahl der Prozessoren, gestarteten Prozesse sowie andere Informationen an den Remote-Server von Cyber-Kriminellen. Anschließend erhält der Trojaner eine Konfigurationsdatei, durch die eine Mining-Malware für Kryptowährungen heruntergeladen, installiert und gestartet wird. Die auf diese Weise geminten Gelder werden auf das Konto der Cyber-Kriminellen gebucht.

screen #drweb

Linux.Lady.1 ist in der Lage, eine externe IP-Adresse durch spezielle Websites zu bestimmen und andere Rechner gezielt anzugreifen. Der Trojnaer versucht, eine Verbindung zum Port herzustellen, auf das Redis (remote dictionary server) ohne Passwort zugreift, und rechnet damit, dass ein Systemadministrator das System falsch konfiguriert hat. Wenn die Verbindung hergestellt werden konnte, schreibt der Trojaner im cron eines Remote-Rechners ein Skript ein, das von Dr.Web Antivirus als Linux.DownLoader.196 erkannt wird. Dieser lädt Linux.Lady.1 herunter und installiert ihn auf dem infizierten Rechner. Anschließend fügt der Schädling einen Schlüssel zum Verbindungsaufbau via SSH in die Liste der autorisierten Schlüssel ein.

Dr.Web entdeckt und löscht Linux.Lady.1 und Linux.DownLoader.196. Sie stellen daher keine Gefahr für Benutzer von Dr.Web Software dar.

Mehr zum Trojaner

Ihre Meinung ist uns wichtig!

Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare