Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zu News

Neue Backdoor für Linux entdeckt

Frankfurt, 23. Juli 2015

Die Virenanalysten von Doctor Web haben Muster einer Backdoor für Linux entdeckt und analysiert. Nach Plan der Übeltäter sollte der Schädling über leistungsstarke Funktionen verfügen. Die aktuelle Version der Backdoor weist jedoch viele Schwächen auf.

Linux.BackDoor.Dklkt.1 hat vermutlich chinesische Wurzeln. Allem Anschein nach haben die Entwickler versucht, den Schädling mit neuen Funktionen wie Dateisystem-Manager, Trojaner für DDoS-Angriffe, Proxy-Server usw. auszurüsten. In der Tat wurden jedoch nicht alle Funktionen realisiert. Die Backdoor sollte auch plattformunabhängig (sowohl für Linux als auch für Windows) funktionieren. Die Entwickler des Schädlings haben dabei aber viele Punkte vernachlässigt. Daher trifft man oft Komponenten und Konstrukte an, die keinen Bezug zu Linux haben.

Beim Start prüft Linux.BackDoor.Dklkt.1 seinen Ordner auf eine Konfigurationsdatei mit allen notwendigen Parametern. Die Datei enthält u.a. drei Adressen von Verwaltungsservern der Backdoor. Davon wird nur eine gebraucht. Die zwei anderen sind als Reserveadressen gedacht. Die Konfigurationsdatei wurde durch Base64 verschlüsselt. Beim Start registriert sich Linux.BackDoor.Dklkt.1 auf dem anzugreifenden PC als Systemdienst und bricht - wenn der Versuch nicht gelingt - ab.

Nachdem sich der Trojaner gestartet hat, erstellt und versendet er ein Datenpaket zum infizierten System. Der Datenverkehr zwischen der Backdoor und dem Remote-Verwaltungszentrum läuft via LZO und wird durch Blowfish verschlüsselt. Jedes Datenpaket wird mit einer Kontrollsumme von Daten ausgerüstet, wodurch die Integrität von Daten geprüft werden soll.

Danach wartet Linux.BackDoor.Dklkt.1 auf eingehende Befehle wie bspw. DDoS-Angriffe, Start des SOCKS Proxy-Servers, Start einer vorgegebenen Anwendung, Neustart oder Herunterfahren des PCs. Alle anderen Befehle werden von Linux.BackDoor.Dklkt.1 entweder ignoriert oder falsch bearbeitet. Der Trojaner ist außerdem in der Lage, folgende DDoS-Angriffe durchzuführen:

  • SYN Flood
  • HTTP Flood (POST/GET-Anfragen)
  • ICMP Flood
  • TCP Flood
  • UDP Flood

Die Signatur für die neue Backdoor wurde in die Virendatenbank von Dr.Web Antivirus aufgenommen. Die Benutzer von Dr.Web für Linux sind gegen den Trojaner zuverlässig geschützt.

Ihre Meinung ist uns wichtig!

Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare