Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Neue Backdoor für Linux entdeckt

Frankfurt, 23. Juli 2015

Die Virenanalysten von Doctor Web haben Muster einer Backdoor für Linux entdeckt und analysiert. Nach Plan der Übeltäter sollte der Schädling über leistungsstarke Funktionen verfügen. Die aktuelle Version der Backdoor weist jedoch viele Schwächen auf.

Linux.BackDoor.Dklkt.1 hat vermutlich chinesische Wurzeln. Allem Anschein nach haben die Entwickler versucht, den Schädling mit neuen Funktionen wie Dateisystem-Manager, Trojaner für DDoS-Angriffe, Proxy-Server usw. auszurüsten. In der Tat wurden jedoch nicht alle Funktionen realisiert. Die Backdoor sollte auch plattformunabhängig (sowohl für Linux als auch für Windows) funktionieren. Die Entwickler des Schädlings haben dabei aber viele Punkte vernachlässigt. Daher trifft man oft Komponenten und Konstrukte an, die keinen Bezug zu Linux haben.

Beim Start prüft Linux.BackDoor.Dklkt.1 seinen Ordner auf eine Konfigurationsdatei mit allen notwendigen Parametern. Die Datei enthält u.a. drei Adressen von Verwaltungsservern der Backdoor. Davon wird nur eine gebraucht. Die zwei anderen sind als Reserveadressen gedacht. Die Konfigurationsdatei wurde durch Base64 verschlüsselt. Beim Start registriert sich Linux.BackDoor.Dklkt.1 auf dem anzugreifenden PC als Systemdienst und bricht - wenn der Versuch nicht gelingt - ab.

Nachdem sich der Trojaner gestartet hat, erstellt und versendet er ein Datenpaket zum infizierten System. Der Datenverkehr zwischen der Backdoor und dem Remote-Verwaltungszentrum läuft via LZO und wird durch Blowfish verschlüsselt. Jedes Datenpaket wird mit einer Kontrollsumme von Daten ausgerüstet, wodurch die Integrität von Daten geprüft werden soll.

Danach wartet Linux.BackDoor.Dklkt.1 auf eingehende Befehle wie bspw. DDoS-Angriffe, Start des SOCKS Proxy-Servers, Start einer vorgegebenen Anwendung, Neustart oder Herunterfahren des PCs. Alle anderen Befehle werden von Linux.BackDoor.Dklkt.1 entweder ignoriert oder falsch bearbeitet. Der Trojaner ist außerdem in der Lage, folgende DDoS-Angriffe durchzuführen:

  • SYN Flood
  • HTTP Flood (POST/GET-Anfragen)
  • ICMP Flood
  • TCP Flood
  • UDP Flood

Die Signatur für die neue Backdoor wurde in die Virendatenbank von Dr.Web Antivirus aufgenommen. Die Benutzer von Dr.Web für Linux sind gegen den Trojaner zuverlässig geschützt.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Dr.Web Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2017

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt