Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Telefon

+7 (495) 789-45-86

Forum
Profil

Zurück zur Übersicht

Neuer Trojaner für Linux attackiert Webseiten

Frankfurt, 13. April 2015

Die Sicherheitsanalysten von Doctor Web haben den neuen Trojaner, der Linux-Betriebssysteme infizieren kann, analysiert und festgestellt, dass er Webseiten per Fernzugriff auf Sicherheitslücken prüfen sowie vorgegebene Ressourcen via HTTP angreifen kann. Bemerkenswert ist, dass der Schädling durch Übeltäter via IRC verwaltet werden kann.

Der Bösewicht Linux.BackDoor.Sessox.1 registriert sich auf einem infizierten Rechner im Autorun-Bereich. Anschliessend baut er eine Verbindung zum Server auf, auf dem der Chat via IRC (Internet Relay Chat) läuft. In diesem Chat erhält der Bot Befehle von Übeltätern. Der Trojaner kann folgende Befehle unterstützen:

  • Anmeldung im IRC-Chat mit vorgegebenen Benutzerdaten;
  • Uptime-Daten via IRC übermitteln;
  • Benutzernamen ändern;
  • PONG-Meldung als Antwort auf PING abgeben;
  • Einen Spezialbefehl ausführen;
  • Angriff durch vorgegebene GET-Anfragen (HTTP Flooder) starten;
  • Prüfung auf ShellShock-Sicherheitslücken (ShellShock Scanner) starten;
  • Prüfung von PHP-Szenarien (PHP Scanner) starten;
  • Proxy-Server (SOCKS5 Proxy) starten.

Der Trojaner ist in der Lage, die durch Cyber-Kriminelle vorgegebene Webseite durch GET-Anfragen anzugreifen. Auf Befehl kann Linux.BackDoor.Sessox.1 den Server auf ShellShock-Sicherheitslücken prüfen, die die Ausführung eines beliebig ausführbaren Codes ermöglichen. Ähnlich kann der Schädling PHP-Szenarien durch POST-Anfragen scannen. Das Ziel dabei ist es, ein vorgegebenes Skript auf dem Server zu starten. So können die Übeltäter eine Kopie des Trojaners Linux.BackDoor.Sessox.1 installieren und für dessen Verbreitung sorgen.

Die Signatur für Linux.BackDoor.Sessox.1 wurde bereits in die Dr.Web Virendatenbank aufgenommen. Er stellt daher für Dr.Web Benutzer keine Gefahr dar.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Dr.Web Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2017

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt