Aufgrund der wachsenden Anzahl von Sicherheitsbedrohungen bezüglich dem Linux Webserver hat der Antivirensoftware-Hersteller Doctor Web eigene Untersuchungen durchgeführt. Das Ergebnis der Analysten: der von Doctor Web so genannte Trojaner Linux.Sshdkit...
Hanau, 18.03.2013 - Aufgrund der wachsenden Anzahl von Sicherheitsbedrohungen bezüglich dem Linux Webserver hat der Antivirensoftware-Hersteller Doctor Web eigene Untersuchungen durchgeführt. Das Ergebnis der Analysten: der von Doctor Web so genannte Trojaner Linux.Sshdkit stiehlt Passwörter auf Servern, die mit Linux betrieben werden.
Pierre Curien, Geschäftsführer bei Doctor Web: "Die Malware ist eine Library-Datei für 32- und 64-Bit-Linux-Versionen. Obwohl bisher unklar ist, wie sich der Trojaner verbreitet, scheint er kritische Schwachstellen auszunutzen, um sich auf angegriffenen Servern zu installieren. Version 1.2.1 ist die neueste Trojaner-Version, die Doctor Web bekannt ist, während eine der früheren Versionen 1.0.3 sich schon länger verbreitet hat."
Nach erfolgreicher Installation, injiziert der Trojaner seinen Code in den sshd-Prozess und nutzt dessen Autorisierungs-Routinen. Sobald eine Session gestartet wird und ein Nutzer seinen Benutzernamen und das Passwort eingegeben hat, sendet der Trojaner diese Informationen über UDP zu einem Remote-Server. Die IP vom Control Server ist in die Malware fest einprogrammiert. Der Trojaner erzeugt allerdings alle zwei Tage eine neue Befehls-Server-Adresse durch die Verwendung einer nicht-trivialen Routine.
Linux.Sshdkit verwendet einen speziellen Algorithmus um zwei DNS-Namen zu generieren, und wenn sich beide auf die gleiche IP-Adresse beziehen, wird diese Adresse zu einer anderen IP konvertiert, auf die der Trojaner die gestohlenen Informationen sendet. Die Routine die verwendet wird, um Command Server Adressen zu generieren ist im Diagramm beschrieben.
Doctor Web-Analysten verwendeten ein Sinkhole um einen Linux.Sshdkit Kontroll-Server zu hijacken und bestätigten somit, dass der Trojaner gestohlene Logindaten und Passwörter zu Remote-Hosts sendet.
Die Signatur des Trojaners wurde der Virus-Datenbank von Doctor Web hinzugefügt. Doctor Web empfiehlt, dass alle Administratoren von Linux-Servern einen System-Check durchführen. Wenn die Datei /lib/libkeyutils* (von 20 bis 35 KB) im System gefunden wird, ist es ein Zeichen für eine Infektion.
Kommentare
18.03.13
18. Mrz 13
Meldung teilen
Bewerten Sie diesen Artikel
Hinweis
Für den Inhalt der Pressemitteilung ist der Einsteller, PresseBox.de, verantwortlich.
Pressemitteilungstext: 278 Wörter, 2177 Zeichen. Artikel reklamieren
Pressemitteilungstext: 278 Wörter, 2177 Zeichen. Artikel reklamieren
Keywords
Diese Pressemitteilung wurde erstellt, um bei Google besser gefunden zu werden.
Tragen Sie jetzt Ihre kostenlose Pressemitteilung ein!
Tragen Sie jetzt Ihre kostenlose Pressemitteilung ein!
X