Hybrid-Trojaner bedroht Linux

Hybrid-Trojaner
Foto: Markus Spiske auf Unsplash

Die Zeiten, in denen Linux nicht interessant für Viren und Trojaner war, scheinen vorbei. Der Hybrid-Trojaner Linux.BtcMine.174 bedroht Linux-Installationen gleich auf mehreren Ebenen. Neben Monero-Crypto-Mining tritt er als Keylogger auf, kann Passwörter stehlen, ein Rootkit installieren und DDoS-Attacken fahren.

Schädlinge nachgeladen

Entdeckt wurde Linux.BtcMine.174 von den russischen Sicherheitsforschern des Antivirus-Herstellers Dr. Web. Die Forscher stellten fest, dass nach der Infektion über die Server der Cyber-Kriminellen verschiedene weitere Schad-Software nachgeladen wird. 

Crypto-Währung minen

Der Trojaner ist ein Shell-Script mit rund 1.000 Zeilen. Hauptaufgabe des Schädlings ist das Mining der Crypto-Währung Monero auf den befallenen Rechnern.  Nach der Infektion, bei der versucht wird, das Script in ein Verzeichnis mit Schreib- und Leserechten zu installieren prüft es zunächst, ob der Server der Trojaner-Entwickler erreichbar ist, um zusätzliche Module nachladen zu können.

Die schmutzige Kuh herausgeholt

Reichen die bei der Infektion erlangten Rechte nicht aus, versucht die Schad-Software, die beiden bereits seit Jahren geschlossenen Sicherheitslücken CVE-2013-2094 und CVE-2016-5195, auch als Dirty Cow bekannt, auszunutzen, um höhere Rechte zu erlangen.

Nach der Installation des Monero-Miners prüft das Script den Rechner auf das Vorhandensein weiterer Mining-Software, um diese zu deaktivieren. Dann wird der Bill Gates Trojaner (PDF) nachgeladen, der DDoS-Attacken mit einem selbst erstellten Botnet durchführen kann.

Rootkit inklusive

Laut Dr.Web fügt sich der Trojaner dann als Autorun-Eintrag in Dateien wie /etc/rc.local, /etc/rc.d/.. und /etc/cron.hourly ein und lädt anschließend ein Rootkit herunter und startet es. Das Rootkit hat unter anderem die Fähigkeit, benutzerdefinierte Passwörter für den su-Befehl zu entwenden und Dateien im Dateisystem, in Netzwerkverbindungen und laufenden Prozessen zu verstecken.

Weiterverbreitet

Doch damit noch nicht genug, der Trojaner versucht, weitere Rechner zu infizieren und sammelt dazu Informationen über alle entfernten Server, die der infizierte Rechner per SSH kontaktiert hat. Dann werden, wenn möglich, die zugehörigen Anmeldeinformationen gestohlen. Daher vermuten die Forscher, dass die Weiterverbreitung per SSH der Hautptverteilungsweg des Trojaners ist. 

Derzeit wenig Gefahr

Insgesamt wird die Gefahr die von diesem Trojaner ausgeht, derzeit von Fachleuten trotzt seiner Komplexität als relativ gering angesehen. In letzter Zeit werden häufiger Schadsoftware und Sicherheitslücken aus unterschiedlichen Gründen hochgespielt. Hier könnte es der Wunsch von Dr. Web sein, seinen Absatz von Antivuren-Software zu erhöhen. Die Hashes zur Überprüfung, ob eine Infektion vorliegt, finden sich jedenfalls auf GitHub. Ein aktueller Kernel der Reihe 4.19 reicht aber bereits zur Abwehr aus.

Teilt den Beitrag, falls ihr mögt

Vielleicht gefällt Dir auch

9 Kommentare
Newest
Oldest Most Voted
Inline Feedbacks
View all comments