Menü
Security

Multifunktionstrojaner hat es auf Linux-Systeme abgesehen

Sicherheitsforscher sind auf einen Linux-Schädling gestoßen, der neben einem Krypto-Miner auch ein Keylogger ist und Konkurrenz-Malware und AV-Software killt.

Von
vorlesen Drucken Kommentare lesen 416 Beiträge
Multifunktionstrojaner hat es auf Linux-Systeme abgesehen

(Bild: geralt)

Der Linux.BtcMine.174 getaufte Trojaner legt vielfältige Schadfunktionen an den Tag und infiziert Linux-PCs. In erster Linie zwackt der Schädling heimlich Rechenleistung ab, um die Krypto-Währung Monero zu schürfen. Er kann aber noch mehr, wie Sicherheitsforscher von Dr. Web in einem Beitrag berichten.

Wie eine Infektion abläuft, ist zum jetzigen Zeitpunkt unklar. Auch auf das Ausmaß der Kampagne gehen die Sicherheitsforscher nicht ein. Zumindest listet Dr. Web Indikatoren wie Dateinamen und Domains auf, aus denen man auf eine Infektion schließen kann. Der Trojaner nistet sich im Autostart ein.

Hat der Schädling einen Computer infiziert und noch keine Root-Rechte, soll er versuchen, sich durch Ausnutzen von Sicherheitslücken (CVE-2013-2094 und CVE-2016-5195 Dirty Cow) höhere Rechte anzueignen. Für beide Lücken stehen schon länger Sicherheitsupdates bereit und Linux-Nutzer sollten sicherstellen, dass ihre Systeme dagegen gefeit sind.

Linux.BtcMine.174 soll sich über verschiedene Module, die er herunterlädt, aufrüsten können. So hinterlegt er eine Backdoor, sodass die Drahtzieher infizierte Computer für DDoS-Attacken missbrauchen könnten. Außerdem kann er Dr. Web zufolge konkurrierende Krypto-Miner auffinden und ausschalten. Auch das Deaktivieren von Anti-Viren-Software soll zu seinem Repertoire gehören.

Um noch mehr Schadenswerk anzurichten, legt er ein Rootkit auf infizierten Computern ab. Anschließend kann er unter anderem Tastatureingaben mitschneiden und an die Drahtzieher schicken. Ein befallener Computer ist dem Schädling nicht genug und er kann sich wurmartig verbreiten, warnt Dr. Web. Um das zu bewerkstelligen, sammelt er Infos über Computer, die in der Vergangenheit eine SSH-Verbindung mit dem infizierten PC eingegangen sind. (des)