Linux Root-Passwort von Crypto-Miner durch Trojanisches Pferd gestohlen

Der russische Sicherheitsanbieter Dr. Web hat ein neues Trojanisches Pferd entdeckt, das auf Linux anstelle, von Windows abzielt. Die Malware mit dem Namen Linux.BtcMine.174 weist offensichtlich einen hohen Grad an Komplexität und eine große Anzahl von Funktionen auf. Diese wird sonst nur von Windows-Malware gemeinsam genutzt. Letztendlich sollte es jedoch hauptsächlich Kryptowährung für seine Verbreiter abbauen. Das Trojaner-Programm selbst ist ein Shell-Skript, das mehr als 1.000 Codezeilen enthält. Als Teil der Infektion ist es auch die erste Datei, die auf einem Linux-System ausgeführt wird. Im ersten Schritt findet das Skript einen Ordner mit Schreibberechtigungen. Um sich im Anschluss selbst dorthin zu kopieren und zu einem späteren Zeitpunkt andere Module herunterzuladen.

Seit Jahren bekannte Sicherheitslücken im System

Danach kamen zwei seit vielen Jahren bekannte Sicherheitslücken ins Spiel, von denen jede eine unbefugte Erweiterung der Benutzerrechte ermöglichte. Dazu gehört eine Kernel-Sicherheitsanfälligkeit namens Dirty Cow mit der ID CVE-2016-5195, die kürzlich bei Angriffen auf Android– und Drupal-Websites verwendet wurde und Root-Zugriff ermöglichte. Mit den neuen vollständigen Benutzerrechten kann der Trojaner schließlich als lokaler Daemon eingerichtet werden und seine eigentliche Aufgabe ausführen, nämlich das Mining der Kryptowährung. Zu diesem Zweck prüft die Malware, ob bereits andere Prozesse für das Crypto Mining ausgeführt werden und falls ja, beendet er sie. Im Anschluss erst lädt der Virus die Komponenten herunter und startet sie, um zu beginnen.

Trojaner beendet Linux Antivirensoftware

Um sich vor Erkennung zu schützen, sucht der Trojaner auch nach Antiviren Software für Linux und beendet die Prozesse. Zu den Produkten, auf die Trojanische Pferde abzielen, gehören AVG, ClamAV, Avast, Eset und Dr.

Zusätzlich wird laut Dr. Web ein Rootkit installiert. Es kann das vom Benutzer für den SU-Befehl eingegebene Kennwort lesen. Darüber hinaus ist der Trojaner in der Lage, Dateien, Netzwerkverbindungen und laufende Prozesse auszublenden.

Die Funktion des Trojaners umfasst auch die Suche nach anderen Servern, mit denen der infizierte Host über SSH eine Verbindung herstellen kann. Dann wird versucht, den Remote-Server zu infizieren. Das Internet wird genutzt, um den Trojaner effektiv zu verbreiten. Zu diesem Zweck spioniert das Trojanische Pferd auch SSH-Anmeldedaten aus, um sichere und zuverlässige SSH-Verbindungen zu knacken und andere Linux-Systeme ohne Wissen der jeweiligen Besitzer zu infizieren.

Trojanisches Pferd wird oft zu spät erkannt

Infizierte Benutzer erkennen erst häufig zu spät, dass ein trojanisches Pferd sich auf ihrem PC befindet und versucht das Linux Root-Passwort auszuspähen. In der Regel wirken sich solche Trojaner vor allem auf die Leistung des PCs aus. Oftmals bemerken infizierte Nutzer, dass der PC langsamer ist als zuvor. Das liegt daran, dass das Mining viele Ressourcen fordert, dafür wird oftmals der Prozessor des infizierten Computers ausgenutzt. Auffallen tut es dadurch, dass der Prozessor zu mindestens 50 % ausgelastet ist, obwohl der Benutzer vielleicht gerade gar nichts am PC macht. Wie hoch die Auslastung im Endeffekt ist, ist immer von dem Virus abhängig. Ebenfalls ist nicht immer der Prozessor das Opfer, sondern auch die Grafikkarten, hierbei gibt es verschiedene Arten von Trojanern, welche mit der Zeit auch immer schlauer agieren, sodass viele Nutzer es gar nicht mehr mitbekommen.