Frankfurt, 20. November 2014

Die IT-Sicherheitsanalysten von Doctor Web haben den gefährlichen Linux-Trojaner, der DDoS-Angriffe in großem Stil organisieren kann, unter die Lupe genommen. Eine detaillierte Analyse der Bedrohung wird nachfolgend präsentiert. Der Schädling wurde in die Dr.Web Virendatenbank unter dem Namen Linux.BackDoor.Fgt.1 eingetragen.

Nachdem Linux.BackDoor.Fgt.1 gestartet hat, prüft er, ob es eine Internetverbindung gibt, indem er auf einen der Google-Server zugreift. Wenn die Verbindung erfolgreich war, bestimmt der Schädling die IP- und MAC-Adresse des infizierten Endgerätes. Danach versucht Linux.BackDoor.Fgt.1 eine Verbindung mit einem vorgegebenen Server aufzubauen, indem er ihm Informationen zu seiner Version schickt. Anschließend wartet Linux.BackDoor.Fgt.1 auf einen Datenblock, der einen auszuführenden Befehl enthält. Wenn vom Verwaltungsserver ein PING-Befehl ausgeht, antwortet der Trojaner mit PONG und fährt mit seiner „Mission“ fort. Beim Befehl DUP schließt Linux.BackDoor.Fgt.1 seine Arbeit ab.

Der Bösewicht verfügt über eine Funktion, mit der er in einem Zyklus gleichzeitig 256 entfernte IP-Adressen scannen kann. Der Zyklus wird nach Befehl der Übeltäter gestartet. Bei der Generierung von IP-Adressen prüft Linux.BackDoor.Fgt.1, ob sie in Bandbereichen liegen, die in lokalen Netzwerken verwendet werden. Solche IP-Adressen werden ignoriert. Bei Mißerfolg sendet Linux.BackDoor.Fgt.1 eine entsprechende Mitteilung an den Verwaltungsserver. Wenn die Internetverbindung aufgebaut wurde, sucht der Trojaner eine Verbindung zu einem Port des Fernknotens via Telnet und verlangt nach einem Benutzernamen. Nachdem Linux.BackDoor.Fgt.1 einen Benutzernamen verschickt hat, analysiert er die Rückmeldungen. Wenn er auf die Aufforderung zur Passworteingabe trifft, versucht er sich durch das multiple Auswählen von Passwörtern anzumelden. Bei Erfolg versendet Linux.BackDoor.Fgt.1 an den Verwaltungsserver eine IP-Adresse, einen Benutzernamen und ein Passwort für das Endgerät, zu dem entsprechende Benutzerdaten erfolgreich gefunden wurden. Währenddessen wird an den anzugreifenden Knoten ein spezielles Skript verschickt. Dieses Skript lädt aus dem Internet herunter und startet den Schädling. Bemerkenswert ist, dass es auf dem Server eine Menge ausführbarer Dateien von Linux.BackDoor.Fgt.1 gibt, die für verschiedene Versionen und Installationsdateien von Linux, u.a. für Systeme mit der Architektur von MIPS- und SPARC-Servern, kompiliert sind. So kann der Trojaner nicht nur die mit dem Internet verbundenen Server und Workstations unter Linux, sondern auch andere Endgeräte, u.a. Router, infizieren.

Linux.BackDoor.Fgt.1 ist in der Lage, mehrere Arten von Befehlen auszuführen:

• IP-Adresse des infizierten Endgerätes anfordern;
• Starten und Abbrechen der Scans;
• Vorgegebenen Knoten Typ DNS Amplification angreifen;
• Vorgegebenen Knoten Typ UDP Flood angreifen;
• Vorgegebenen Knoten Typ SYN Flood angreifen;
• DDoS-Angriff abbrechen;
• Funktion des Trojaners abbrechen.

Die Virensignatur für Linux.BackDoor.Fgt.1, durch die der Schädling ausfindig gemacht werden kann, wurde in die Dr.Web Virendatenbank eingetragen. Linux-Benutzer sind deshalb gegen den Schädling zuverlässig geschützt.