Frankfurt, 13. April 2016
Das erste Glied in der Infizierungskette ist eine ELF-Datei, die durch Dr.Web Antivirus als Linux.Downloader.77 identifiziert wird. Bemerkenswert ist, dass dieser Schädling für Angriffe durch das Versenden von UDP-Paketen geeignet ist. Linux.Downloader.77 ist eine Trojaner-Version der oben erwähnten böswilligen Anwendung. Das potenzielle Opfer lädt die Applikation herunter und startet diese. Danach fragt der Schädling nach Root-Rechten. Wenn ihm die Root-Rechte verweigert werden, bricht er ab. Nicht selten verfügen diese Programme jedoch über verdeckte Funktionen – sie können u.a. andere gefährliche Anwendungen aus dem Internet herunterladen. Linux.Downloader.77 ist hier keine Ausnahme.
Wenn Linux.Downloader.77 Root-Rechte bekommt, lädt er vom Server der Cyber-Kriminellen ein anderes Skript (Linux.Downloader.116) herunter und startet es. Dieses Szenario lädt u.a. Linux.BackDoor.Xudp.1 herunter, speichert den Schädling als /lib/.socket1 oder /lib/.loves ab, platziert ihn im Autostart-Verzeichnis /etc/ als rc.local und stellt das automatische Starten des Schädlings im Cron-Zeitplan sicher. Darüber hinaus wird der Inhalt von iptables geleert.
Nachdem Linux.BackDoor.Xudp.1 gestartet wurde, entschlüsselt er seine Konfigurationsdaten und übermittelt Informationen zum infizierten PC an den Server der Cyber-Kriminellen. Danach startet er drei unabhängige Protokolle. Im ersten Schritt geht dies via HTTP: der Trojaner versendet eine Nachricht, dass er gestartet wurde, erhält einen Schlüssel zur Kodierung von Nachrichten, Serverdaten und Portnummern. Danach sendet Linux.BackDoor.Xudp.1 in einem definierten Zeitintervall Anfragen für mögliche Befehle vom Server. Dieser Algorithmus kann womöglich zum Update des Schädlings verwendet werden. Alle eingehenden Befehle sind verschlüsselt und der Trojaner entschlüsselt diese durch einen speziellen Schlüssel.
Im zweiten Schritt erwartet Linux.BackDoor.Xudp.1 Befehle via UDP vom Server. Im dritten Schritt versendet der Schädling schließlich Nachrichten an den Server, dass er immer noch aktiv ist.
Unter den Befehlen, die Linux.BackDoor.Xudp.1 ausführen kann, sind u.a. das ständige Versenden von Anfragen, DDoS-Angriffe und willkürliche Aktionen auf einem infizierten PC. Linux.BackDoor.Xudp.1 ist auch in der Lage, Ports im definierten Bereich von IP-Adressen zu scannen, Dateien auf Befehl zu starten sowie andere Aufgaben auszuführen. Die Virenanalysten von Doctor Web haben herausgefunden, dass dieser Bösewicht ständig verbessert und aktualisiert wird.
Die Trojaner Linux.BackDoor.Xudp.2 und Linux.BackDoor.Xudp.3 sind verbesserte Versionen von Linux.BackDoor.Xudp.1, die sich u.a. durch Namen, den Umfang von versendeten Daten und auszuführenden Befehlen unterscheiden. All diese böswilligen Applikationen werden durch Dr.Web Antivirus für Linux erfolgreich entdeckt und stellen für Benutzer von Dr.Web keine Gefahr dar.
Ihre Meinung ist uns wichtig!
Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.
Andere Kommentare