Frankfurt, 13. April 2015

Die Sicherheitsanalysten von Doctor Web haben den neuen Trojaner, der Linux-Betriebssysteme infizieren kann, analysiert und festgestellt, dass er Webseiten per Fernzugriff auf Sicherheitslücken prüfen sowie vorgegebene Ressourcen via HTTP angreifen kann. Bemerkenswert ist, dass der Schädling durch Übeltäter via IRC verwaltet werden kann.

Der Bösewicht Linux.BackDoor.Sessox.1 registriert sich auf einem infizierten Rechner im Autorun-Bereich. Anschliessend baut er eine Verbindung zum Server auf, auf dem der Chat via IRC (Internet Relay Chat) läuft. In diesem Chat erhält der Bot Befehle von Übeltätern. Der Trojaner kann folgende Befehle unterstützen:

• Anmeldung im IRC-Chat mit vorgegebenen Benutzerdaten;
• Uptime-Daten via IRC übermitteln;
• Benutzernamen ändern;
• PONG-Meldung als Antwort auf PING abgeben;
• Einen Spezialbefehl ausführen;
• Angriff durch vorgegebene GET-Anfragen (HTTP Flooder) starten;
• Prüfung auf ShellShock-Sicherheitslücken (ShellShock Scanner) starten;
• Prüfung von PHP-Szenarien (PHP Scanner) starten;
• Proxy-Server (SOCKS5 Proxy) starten.

Der Trojaner ist in der Lage, die durch Cyber-Kriminelle vorgegebene Webseite durch GET-Anfragen anzugreifen. Auf Befehl kann Linux.BackDoor.Sessox.1 den Server auf ShellShock-Sicherheitslücken prüfen, die die Ausführung eines beliebig ausführbaren Codes ermöglichen. Ähnlich kann der Schädling PHP-Szenarien durch POST-Anfragen scannen. Das Ziel dabei ist es, ein vorgegebenes Skript auf dem Server zu starten. So können die Übeltäter eine Kopie des Trojaners Linux.BackDoor.Sessox.1 installieren und für dessen Verbreitung sorgen.

Die Signatur für Linux.BackDoor.Sessox.1 wurde bereits in die Dr.Web Virendatenbank aufgenommen. Er stellt daher für Dr.Web Benutzer keine Gefahr dar.