Der Trojaner Linux.Lady.1
Der Trojaner Linux.Lady.1 ist in der Lage, externe IP-Adressen von infizierten Rechnern zu bestimmen, Rechner gezielt anzugreifen sowie Mining-Malware für Kryptowährungen herunterzuladen und zu starten. Besonders selten wird die Programmiersprache Google Go angewendet. Das erschwert die Entdeckung des Trojaners. Von GitHub stammen die zum Aufbau verwendeten vielfältigen Bibliotheken.
Mittels Linux.Lady.1 können die Versionsdaten des installierten Betriebssystems Linux, die Anzahl der Prozessoren und gestarteten Prozesse an den Remote-Server der Cyber-Kriminellen übertragen werden. Der Remote-Server übergibt seinerseits eine Konfigurationsdatei, durch die eine Mining-Malware für Kryptowährungen installiert und gestartet wird. So ist es möglich Gelder auf das Angreiferkonto zu transferieren.
Die Vorgehensweise
Die Vorgehensweise wird wie folgt erläutert:
Über spezielle Webseiten bestimmt Linux.Lady.1 eine externe IP-Adresse um andere Rechner gezielt anzugreifen. Der Trojaner versucht zunächst eine Verbindung zum Port herzustellen und greift dann auf den Redis (remote dictionary server) zu. Bei fehlerhafter Konfiguration durch den Systemadministrator - also wenn kein Passwort eingerichtet ist - gelingt dieser Versuch.
Nach erfolgreicher Verbindung schreibt der Trojaner im cron eines Remote-Rechners ein Skript ein, welches von Dr.Web Antivirus als Linux.DownLoader.196 erkannt wird. Dieses Skript lädt dann Linux.Lady.1 herunter und installiert ihn auf dem infizierten Rechner. Anschließend fügt der Trojaner einen neuen Schlüssel zum Verbindungsaufbau via SSH in die Liste der autorisierten Schlüssel ein.
Dr.Web entdeckt und löscht Linux.Lady.1 und Linux.DownLoader.196. Sie stellen daher keine Gefahr für Benutzer von Dr.Web Software dar.