Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Telefon

+7 (495) 789-45-86

Forum
Profil

Zurück zur Übersicht

Linux-Hackertool infiziert Cyber-Kriminelle mit Trojaner

Frankfurt, 13. April 2016

Neue Backdoor-Trojaner, die Befehle per Fernzugriff ausführen können, sind ein wichtiges Thema in der IT-Sicherheitsszene, besonders wenn diese auf das Betriebssystem Linux abzielen. Im April 2016 haben die Virenanalysten von Doctor Web mehrere Trojaner mit ähnlichen Funktionalitäten entdeckt: Linux.BackDoor.Xudp.1, Linux.BackDoor.Xudp.2 und Linux.BackDoor.Xudp.3.

Das erste Glied in der Infizierungskette ist eine ELF-Datei, die durch Dr.Web Antivirus als Linux.Downloader.77 identifiziert wird. Bemerkenswert ist, dass dieser Schädling für Angriffe durch das Versenden von UDP-Paketen geeignet ist. Linux.Downloader.77 ist eine Trojaner-Version der oben erwähnten böswilligen Anwendung. Das potenzielle Opfer lädt die Applikation herunter und startet diese. Danach fragt der Schädling nach Root-Rechten. Wenn ihm die Root-Rechte verweigert werden, bricht er ab. Nicht selten verfügen diese Programme jedoch über verdeckte Funktionen – sie können u.a. andere gefährliche Anwendungen aus dem Internet herunterladen. Linux.Downloader.77 ist hier keine Ausnahme.

Wenn Linux.Downloader.77 Root-Rechte bekommt, lädt er vom Server der Cyber-Kriminellen ein anderes Skript (Linux.Downloader.116) herunter und startet es. Dieses Szenario lädt u.a. Linux.BackDoor.Xudp.1 herunter, speichert den Schädling als /lib/.socket1 oder /lib/.loves ab, platziert ihn im Autostart-Verzeichnis /etc/ als rc.local und stellt das automatische Starten des Schädlings im Cron-Zeitplan sicher. Darüber hinaus wird der Inhalt von iptables geleert.

Nachdem Linux.BackDoor.Xudp.1 gestartet wurde, entschlüsselt er seine Konfigurationsdaten und übermittelt Informationen zum infizierten PC an den Server der Cyber-Kriminellen. Danach startet er drei unabhängige Protokolle. Im ersten Schritt geht dies via HTTP: der Trojaner versendet eine Nachricht, dass er gestartet wurde, erhält einen Schlüssel zur Kodierung von Nachrichten, Serverdaten und Portnummern. Danach sendet Linux.BackDoor.Xudp.1 in einem definierten Zeitintervall Anfragen für mögliche Befehle vom Server. Dieser Algorithmus kann womöglich zum Update des Schädlings verwendet werden. Alle eingehenden Befehle sind verschlüsselt und der Trojaner entschlüsselt diese durch einen speziellen Schlüssel.

Im zweiten Schritt erwartet Linux.BackDoor.Xudp.1 Befehle via UDP vom Server. Im dritten Schritt versendet der Schädling schließlich Nachrichten an den Server, dass er immer noch aktiv ist.

Unter den Befehlen, die Linux.BackDoor.Xudp.1 ausführen kann, sind u.a. das ständige Versenden von Anfragen, DDoS-Angriffe und willkürliche Aktionen auf einem infizierten PC. Linux.BackDoor.Xudp.1 ist auch in der Lage, Ports im definierten Bereich von IP-Adressen zu scannen, Dateien auf Befehl zu starten sowie andere Aufgaben auszuführen. Die Virenanalysten von Doctor Web haben herausgefunden, dass dieser Bösewicht ständig verbessert und aktualisiert wird.

Die Trojaner Linux.BackDoor.Xudp.2 und Linux.BackDoor.Xudp.3 sind verbesserte Versionen von Linux.BackDoor.Xudp.1, die sich u.a. durch Namen, den Umfang von versendeten Daten und auszuführenden Befehlen unterscheiden. All diese böswilligen Applikationen werden durch Dr.Web Antivirus für Linux erfolgreich entdeckt und stellen für Benutzer von Dr.Web keine Gefahr dar.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Dr.Web Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2017

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt