Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Telefon

+7 (495) 789-45-86

Forum

Ihre Anfragen

  • Alle:
  • Offen:
  • Letzte Anfrage: -

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Neue Backdoor mit vielfältigen Funktionen für Linux

Frankfurt, 5. Februar 2015

Die IT-Sicherheitsanalysten von Doctor Web haben die funktionsreiche Backdoor für Linux analysiert. Der Schädling ist in der Lage, vielfältige Befehle der Cyberkriminellen auszuführen, DDoS-Angriffe zu starten und vieles mehr.

Die neue Backdoor für Linux, die in der Dr.Web Virendatenbank unter dem Namen Linux.BackDoor.Xnote.1 geführt wird, verbreitet sich ähnlich wie andere Trojaner für ein solches Betriebssystem. Die Cyberkriminellen suchen Passwörter aus und brechen via SSH in Benutzerkonten ein. Es gibt viele Gründe für die Annahme, dass die Backdoor von chinesischen Cyberverbrechern aus der Gruppe ChinaZ entwickelt wurde.

Zunächst prüft Linux.BackDoor.Xnote.1, ob im System bereits eine Kopie der Backdoor läuft. Wenn diese gefunden wird, bricht sie sich ab. Die Installation eines Schädlings erfolgt nur, wenn sie mit Root-Rechten gestartet wurde. Während der Installation erstellt der Trojaner seine Kopie im Verzeichnis /bin/ (Dateiname iptable6) und löscht die Ausgangsdatei. Im Verzeichnis /etc/init.d/ sucht der Schädling nach Szenarien, die mit "!#/bin/bash" anfangen und fügt eine neue Zeile ein, die für das Starten der Backdoor verantwortlich ist.

Zum Datenaustausch mit den Cyberkriminellen verwendet der Schädling folgende Methode: er sucht in seinem Körper nach einer Zeile, die auf einen verschlüsselten Datenblock hinweist und entschlüsselt ihn. Danach fragt er die Verwaltungsserver der Reihe nach ab, bis er einen funktionierenden Server findet oder es keine verfügbaren Server mehr gibt. Vor dem Übertragen von Datenpaketen werden sie durch den Schädling und den Verwaltungsserver via zlib-Bibliothek komprimiert.

Zunächst sendet Linux.BackDoor.Xnote.1 Informationen zum infizierten System an den Server der Cyberkriminellen. Danach wartet er auf einen Befehl des Verwaltungsservers. Wenn der Befehl eine Aufgabe vorsieht, wird ein Prozess erstellt, der eine Verbindung zum Verwaltungsserver aufbaut und alle notwendigen Konfigurationsdaten für die Auftragserfüllung erhält.

So kann Linux.BackDoor.Xnote.1 z.B. auf Befehl der Cyberkriminellen dem infizierten Rechner eine ID zuweisen, einen DDoS-Angriff (u.a. SYN Flood, UDP Flood, HTTP Flood und NTP Amplification) auf einen entfernten Rechner mit einer definierten IP-Adresse starten und abbrechen, die ausführbare Datei der Backdoor aktualisieren, Daten in einer Datei speichern oder sich selbst löschen. Und noch mehr: nachdem er einen Befehl erhalten hat, sendet Linux.BackDoor.Xnote.1 Informationen zum Dateisystem eines infizierten PCs (u.a. Datenblock im Dateisystem, freie Datenblöcke usw.) an den Verwaltungsserver und kann inzwischen folgende Kommandos ausführen:

  • Dateien und Verzeichnisse im angegebenen Verzeichnis zählen
  • Dem Server die Dateigröße mitteilen
  • Datei erstellen, wo eingehende Daten gespeichert werden können
  • Datei empfangen
  • Protokoll an den Verwaltungsserver senden
  • Datei löschen
  • Verzeichnis löschen
  • Dem Verwaltungsserver ein Signal über die Empfangsbereitschaft senden
  • Verzeichnis erstellen
  • Datei umbenennen
  • Datei starten

Darüber hinaus kann der Trojaner eine Shell mit definierten Variablen des Umfeldes starten, dem Verwaltungsserver Zugangsdaten übergeben, auf einem infizierten Rechner SOCKS Proxy oder die eigene Serverversion Portmap starten.

Die Virensignatur für den Schädling wurde bereits in die Dr.Web Virendatenbank aufgenommen. Die Benutzer von Dr.Web Antivirus für Linux sind gegen diesen Trojaner zuverlässig geschützt.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Dr.Web Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2017

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt