Avast - Analyse von Banking – Trojaner für Linux

Wie auf heise.der zu erfahren war fängt es damit an, dass die Linux-Malware Hand of Thief größtenteils verschlüsselt ist. Nach dem Start schaut sie sich erst mal ausführlich auf dem System um: Die Malware versucht herauszufinden, ob sie in einer virtuellen Maschine läuft – und damit potenziell unter Beobachtung eines Virenforscher steht. Hierzu durchsucht sie die von cpuinfo ausgegebenen Prozessorinformationen nach Zeichenfolgen wie "QEMU". Die SCSI-Geräte durchfilzt sie unter anderem nach "VMWARE". Wird der Schädling fündig, bricht er die Ausführung sofort ab. Das Gleiche geschieht auf Systemen, die mittels chroot abgesichert sind. Wenn sich die Malware einigermaßen sicher ist, dass sie nicht auf dem virtuellen Analysesystem eines Virenlabors gelandet ist, beginnt sie mit der Infektion des Rechners. Damit der Schädling nach jedem Systemstart ausgeführt wird, legt er eine Konfigurationsdatei an. Anschließend entschlüsselt er den eigentlichen Schadcode in den tmp-Ordner. Es werden zwei Threads gestartet. Einer sorgt dafür, dass ein Formgrabber in Chrome, Chromium und Firefox injiziert wird, der in Web-Formulare eingetippte Daten abgreift. Der andere Thread kümmert sich um die Kommunikation mit dem Command-and-Control-Server (C&C-Server), welcher die eingesammelten Daten entgegen nimmt und der Malware neue Aufträge erteilen kann. Der Angreifer kann der Malware darüber etwa befehlen, eine Reverse Shell zu starten, durch die er aus der Ferne Zugang zum infizierten Rechner hat. Auch nach der Infektion versucht der Trojaner zu vermeiden, dass sein Tun analysiert wird. Entdeckt er in der Prozessliste ein Netzwerkanalyse-Tool wie tcpdump oder Wireshark, stellt er die Kommunikation mit seinem C&C-Server vorübergehend ein. Den Linux – Trojaner hat die Sicherheitsfirma RSA in einem Untergrundforum entdeckt. Laut RSA soll eine professionelle Truppe aus Russland dahinterstecken. Die Malware soll auf 15 Linux-Distributionen laufen – darunter Ubuntu, Fedora und Debian.