Sicher & Anonym, Verschlüsselung & Datensicherheit

Neuer Linux-Kryptominer unterwegs

Komplexe Malware entdeckt
Dr.Web entdeckte eine komplexe Malware für Linux.

Es ist ein Trojaner mit zahlreichen Eigenschaften, der nun auch Linux-Rechner befällt. Neben dem Auslesen von Passwörtern versteht er sich darauf, auch  Antivirensoftware zu deaktivieren. Die Verbreitung gelingt über SSH und dazu schürft er fleißig Monero.

Komplexe Malware entdeckt

Generell gibt es weniger Malware für Linux- als für Windows-Rechner, doch auch die hier verwendete Schadsoftware mit der Zeit immer komplexer und ausgereifter. So hat der russische Antivirus-Hersteller Dr. Web laut einem Bericht von zdnet einen Trojaner gefunden, der aus rund 1000 Zeilen Code besteht, wie futurezone.at dazu berichtete.

Der Trojaner mit dem Namen Linux.BtcMine.174 kopiert sich zuerst in einen Ordner, für den er Schreibberechtigungen hat und lädt anschließend weitere Module herunter. Ist er einmal im System, holt sich die Root-Berechtigungen und übernimmt somit die Kontrolle über das Linux-OS. Außerdem fügt der Trojaner sich selbst als Autorun-Funktion hinzu, lädt einen Rootkit herunter und führt diesen aus: So kann er zum Beispiel vom User eingegebene Passwörter auslesen.

Trojaner schürft Kryprowährung Monero

Die eigentliche Aufgabe des Trojaners ist es allerdings, Rechenleistung vom PC ab zu zapfen, um die Kryprowährung Monero zu schürfen. Damit er dabei die Power mit niemandem teilen muss, deaktiviert er vorher diverse andere Trojaner, die ebenfalls Kryptowährungen schürfen sollen.

Das reicht aber noch nicht aus. Daneben deaktiviert Linux.BtcMine.174 diverse Antivirus-Lösungen die auf dem Rechner laufen. Laut Dr. Web sollen Prozesse mit Namen wie  safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets und xmirrord vom Trojaner deaktiviert worden sein. Schließlich versucht der Trojaner noch, sich über die SSH-Verbindung auf mit dem infizierten Gerät verbundene Rechner zu kopieren.

Dr. Web hat File-Hashes des Trojaners auf GitHub geladen, um jenen Systemadministratoren zu helfen, die ihre Systeme nach der relativ neuen Bedrohung durchsuchen wollen, so futurezone.at.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben