Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Telefon

+7 (495) 789-45-86

Forum
Profil

Zurück zur Übersicht

Neuer Trojaner für Linux spielt Ping Pong mit Server

Frankfurt, 20. November 2014

Die IT-Sicherheitsanalysten von Doctor Web haben den gefährlichen Linux-Trojaner, der DDoS-Angriffe in großem Stil organisieren kann, unter die Lupe genommen. Eine detaillierte Analyse der Bedrohung wird nachfolgend präsentiert. Der Schädling wurde in die Dr.Web Virendatenbank unter dem Namen Linux.BackDoor.Fgt.1 eingetragen.

Nachdem Linux.BackDoor.Fgt.1 gestartet hat, prüft er, ob es eine Internetverbindung gibt, indem er auf einen der Google-Server zugreift. Wenn die Verbindung erfolgreich war, bestimmt der Schädling die IP- und MAC-Adresse des infizierten Endgerätes. Danach versucht Linux.BackDoor.Fgt.1 eine Verbindung mit einem vorgegebenen Server aufzubauen, indem er ihm Informationen zu seiner Version schickt. Anschließend wartet Linux.BackDoor.Fgt.1 auf einen Datenblock, der einen auszuführenden Befehl enthält. Wenn vom Verwaltungsserver ein PING-Befehl ausgeht, antwortet der Trojaner mit PONG und fährt mit seiner „Mission“ fort. Beim Befehl DUP schließt Linux.BackDoor.Fgt.1 seine Arbeit ab.

Der Bösewicht verfügt über eine Funktion, mit der er in einem Zyklus gleichzeitig 256 entfernte IP-Adressen scannen kann. Der Zyklus wird nach Befehl der Übeltäter gestartet. Bei der Generierung von IP-Adressen prüft Linux.BackDoor.Fgt.1, ob sie in Bandbereichen liegen, die in lokalen Netzwerken verwendet werden. Solche IP-Adressen werden ignoriert. Bei Mißerfolg sendet Linux.BackDoor.Fgt.1 eine entsprechende Mitteilung an den Verwaltungsserver. Wenn die Internetverbindung aufgebaut wurde, sucht der Trojaner eine Verbindung zu einem Port des Fernknotens via Telnet und verlangt nach einem Benutzernamen. Nachdem Linux.BackDoor.Fgt.1 einen Benutzernamen verschickt hat, analysiert er die Rückmeldungen. Wenn er auf die Aufforderung zur Passworteingabe trifft, versucht er sich durch das multiple Auswählen von Passwörtern anzumelden. Bei Erfolg versendet Linux.BackDoor.Fgt.1 an den Verwaltungsserver eine IP-Adresse, einen Benutzernamen und ein Passwort für das Endgerät, zu dem entsprechende Benutzerdaten erfolgreich gefunden wurden. Währenddessen wird an den anzugreifenden Knoten ein spezielles Skript verschickt. Dieses Skript lädt aus dem Internet herunter und startet den Schädling. Bemerkenswert ist, dass es auf dem Server eine Menge ausführbarer Dateien von Linux.BackDoor.Fgt.1 gibt, die für verschiedene Versionen und Installationsdateien von Linux, u.a. für Systeme mit der Architektur von MIPS- und SPARC-Servern, kompiliert sind. So kann der Trojaner nicht nur die mit dem Internet verbundenen Server und Workstations unter Linux, sondern auch andere Endgeräte, u.a. Router, infizieren.

Linux.BackDoor.Fgt.1 ist in der Lage, mehrere Arten von Befehlen auszuführen:

  • IP-Adresse des infizierten Endgerätes anfordern;
  • Starten und Abbrechen der Scans;
  • Vorgegebenen Knoten Typ DNS Amplification angreifen;
  • Vorgegebenen Knoten Typ UDP Flood angreifen;
  • Vorgegebenen Knoten Typ SYN Flood angreifen;
  • DDoS-Angriff abbrechen;
  • Funktion des Trojaners abbrechen.

Die Virensignatur für Linux.BackDoor.Fgt.1, durch die der Schädling ausfindig gemacht werden kann, wurde in die Dr.Web Virendatenbank eingetragen. Linux-Benutzer sind deshalb gegen den Schädling zuverlässig geschützt.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Dr.Web Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2017

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt