Frankfurt, 5. Juni 2017

Virenanalysten von Doctor Web haben zwei Schädlinge für Linux untersucht. Der eine installiert auf dem infizierten Rechner eine App zum Mining von Kryptowährung, der andere startet einen Proxy-Server.

Der erste Trojaner wurde in die Dr.Web Virendefinitionsdatei unter dem Namen Linux.MulDrop.14 aufgenommen. Die Verbreitung von Linux.MulDrop.14 begann in der zweiten Maihälfte. Der Schädling, der aus einem Skript besteht, in dem eine App zum Mining von Kryptowährung gespeichert ist, greift ausschließlich Rasberry-Pi-Rechner an. Linux.MulDrop.14 ersetzt zunächst ein Passwort auf dem infizierten Gerät, entpackt und startet den Miner. Anschließend sucht er im Netzwerkumfeld ununterbrochen nach Geräten mit dem geöffneten Port 22. Wenn eine Verbindung via SSH hergestellt werden konnte, versucht der Trojaner, auf infizierten Geräten seine Kopien auszuführen.

Der andere Schädling heißt Linux.ProxyM. Angriffe, bei denen er eingesetzt wurde, wurden bereits seit April 2017 registriert. Einen Höhepunkt erreichten sie aber Mitte Mai. Die zeitliche Verteilung von Angriffen durch Linux.ProxyM sieht wie folgt aus:

Ein Großteil von IP-Adressen, von denen Cyber-Angriffe durchgeführt werden, befindet sich in Russland. Danach folgen China und Taiwan. Die geografische Verteilung von Angriffen, wo Linux.ProxyM zum Einsatz kommt, finden Sie wie folgt:

Der Trojaner ist schlau und ist in der Lage, Honeypots (Server, die von Sicherheitsanalysten als Fallen für Malware verwendet werden) zu entdeckten. Nach seinem Start stellt er eine Verbindung zum Verwaltungsserver her, erhält von ihm eine Rückmeldung und startet auf dem infizierten Gerät den SOCKS-Proxy-Server. Cyber-Kriminelle können diesen zum Verdecken ihrer Identität nutzen.

Die beiden Trojaner werden durch Dr.Web Antivirus für Linux erfolgreich erkannt und entfernt, deshalb stellen sie für unsere Nutzer keine Gefahr dar.

• More about Linux.MulDrop.14
• More about Linux.ProxyM