Heute: December 11, 2018, 1:03 am
  
IT, Software & Technologie

Doctor Web entdeckt neuen Mining-Trojaner für Linux

Das verdeckte Schürfen von Kryptowährungen gehört heute zu den weltweit am meist verbreiteten kriminellen Machenschaften. Das Team von Doctor Web entdeckte einen Mining-Trojaner, welcher in der Lage ist, Linux Computer zu infizieren. Der Schädling kann darüber hinaus auch weitere Netzwerkgeräte befallen und die auf einem PC installierte Virenschutzsoftware löschen.
Doctor Web entdeckt neuen Mining-Trojaner für Linux
Doctor Web entdeckt neuen Mining-Trojaner für Linux
PR-Inside.com: 2018-12-06 09:26:02
Der Trojaner, welcher als Linux.BtcMine.174 in die Dr.Web Virendefinitionsdatei eingetragen wurde, stellt das in der sh-Sprache geschriebene Skript dar und enthält einen über 1.000 Zeilen langen Code. Der Schädling besteht aus mehreren Komponenten. Beim Starten prüft der Trojaner die Verfügbarkeit des Servers, von dem weitere böswillige Module heruntergeladen werden können. Anschließend sucht er nach einem Verzeichnis mit Schreibprivilegien, in dem diese Module platziert werden. Danach wird das Skript ins vordefinierte Verzeichnis verschoben und startet als Daemon. Dafür nutzt der Trojaner das Tool nohup. Wenn das Tool im System nicht verfügbar ist, lädt er das Toolpaket coreutils mit dem bereits erwähnten nohup-Tool herunter.


Wenn die Installation erfolgreich verläuft, lädt der Trojaner eine Version von Linux.BackDoor.Gates.9 herunter. Dieses ermöglicht die Übermittlung von Befehlen der Cyber-Kriminellen und die Durchführung von DDoS-Angriffen.


Konkurrenten werden ausgeschaltet:

Nach der Installation sucht Linux.BtcMine.174 nach Konkurrenz, die ebenfalls in der Lage ist, Kryptowährungen zu schürfen, und bricht Prozesse dieser böswilligen Programme ab. Wenn Linux.BtcMine.174 nicht durch den Benutzer (mit root-Rechten) gestartet wurde, nutzt der Schädling eine Reihe von Exploits aus. Die Virenanalysten von Doctor Web entdeckten mindestens zwei Exploits, die der Trojaner ausnutzt: Linux.Exploit.CVE-2016-5195 (auch bekannt als DirtyCow) und Linux.Exploit.CVE-2013-2094. Die aus dem Internet heruntergeladenen DirtyCow-Dateien werden auf dem infizierten Gerät kompiliert.


Anschließend versucht der Schädling Services von Virenschutzsoftware mit den Namen safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets und xmirrord zu finden. Sobald der Trojaner einen dieser Services entdeckt, bricht er nicht nur seinen Prozess ab, sondern löscht auch die Dateien und das Verzeichnis, in dem die Virenschutz-App installiert war.


Verbindung zum Server der Cyber-Kriminellen:

Anschließend trägt sich Linux.BtcMine.174 im Autostart ein, lädt ein Rootkit herunter und startet dieses auf dem infizierten PC. Dieses Modul ist auch als sh-Skript verfügbar und basiert auf dem früher frei verfügbaren Quellcode. Zu den Funktionen des Rootkit-Moduls gehört der Diebstahl von Benutzerdaten durch den su-Befehl, das Verdecken von Dateien im Dateisystem, Netzwerkverbindungen und Prozessen. Der Trojaner sammelt Daten über Netzwerke, mit denen früher via ssh verbunden wurde, und versucht, diese zu infizieren.


Infolge dieser Schritte startet Linux.BtcMine.174 einen Mining-Trojaner, der die Kryptowährung Monero (XMR) schürfen soll. Anschließend prüft der Trojaner, ob dieser Mining-Trojaner läuft, und startet ihn bei Bedarf neu. Er baut auch eine Verbindung zum Server der Cyber-Kriminellen auf und lädt verfügbare Updates herunter.


Linux.BtcMine.174 und seine Komponenten werden durch Dr.Web für Linux erfolgreich entdeckt und neutralisiert.


Über Doctor Web:

Doctor Web Ltd. ist ein führender, weltweit agierender Hersteller von Antivirus- und Antispam-Lösungen. Das Doctor Web Team entwickelt seit 1992 Anti-Malware-Lösungen und beschäftigt weltweit 400 Mitarbeiter, davon 200 im Research & Development. Doctor Web ist nicht nur Pionier, sondern auch einer der wenigen Anbieter, die ihre Lösungen vollständig innerbetrieblich entwickeln. Das Unternehmen legt großen Wert auf die effektive Beseitigung von Kundenproblemen und bietet schnelle Antworten auf akute Virengefahren. Die umfangreiche Produktpalette von Doctor Web umfasst effiziente Lösungen zur Absicherung von einzelnen Arbeitsplätzen bis hin zu komplexen Netzwerken. Im deutschsprachigen Raum werden die Produkte von der Doctor Web Deutschland GmbH in Frankfurt vertrieben. Zu den weltweit über 120 Mio. Nutzern von Dr.Web gehören Privatanwender, namhafte und international agierende, börsennotierte Großunternehmen, Banken und öffentliche Einrichtungen.

Presseinformation
Doctor Web Deutschland GmbH
Platz der Einheit 1

60327 Frankfurt

Sanja Jahn-Willkomm
Marketing and Communication Managerin
069/97503139
email
www.drweb-av.de

Veröffentlicht durch
Sanja Jahn-Willkomm
06997503139
e-mail
www.drweb-av.de



# 635 Wörter
Empfohlene Artikel
Mehr von AutorIn
Sicherheit für Rechner und Mobiltelefon im Doctor [..]
In der Vorweihnachtszeit verlost Doctor Web auf Facebook 24 DVDs Dr.Web Security Space. Hinter jedem Türchen im Adventskalender von [..]
Sicheres Online-Banking – Der Doctor Web Security-Tipp [..]
Rund 42 Millionen Menschen in Deutschland nutzen Online-Banking. Diese hohe Zahl ist keineswegs überraschend, denn die vielen [..]
Hacker erbeutet 24.000 Dollar aus Krypto-Geldbörsen – [..]
Der Cyber-Kriminelle, der auch unter den Namen Investimer, Hyipblock und Mmpower bekannt ist, setzt mit Stealern, Downloadern, Encodern [..]
Neue Dr.Web 12 Version für Windows veröffentlicht
Der IT-Sicherheitsspezialist Doctor Web präsentiert die neue Dr.Web 12 Version für Windows, welche sowohl Privatnutzer als [..]
Doctor Web Analysten entdecken Trojaner in gefälschter [..]
Die Sicherheitsanalysten von Doctor Web haben den Download-Trojaner Android.DownLoader.818.origin im Google Play Store in der [..]
 
Mehr von: IT, Software & Technologie
Magnolia stellt eines der umfassendsten Produkt-Updates vor
Magnolia, einer der weltweit führenden Anbieter von Open Source Content Management-Lösungen, hat heute die Einführung von [..]
Notfallplan für die Lohnabrechnung
Outsourcing der Personalabrechnung im Öffentlichen Dienst Als die Verantwortliche für die Personalabrechnung der Gemeinde Markt [..]
Neue App von vio:networks bringt Büronummer aufs [..]
Berlin, 05. Dezember 2018 – Die virtuelle Telefonanlage von vio:networks bietet kleinen und mittelständischen Unternehmen schon [..]

Erklärung: Der Autor versichert, dass die veröffentlichten Inhalte in dieser Pressemitteilung der Wahrheit entsprechen und dem gesetzlichen Urheberrecht unterliegen.