Diese Webseite verwendet Cookies. Mehr Infos
info@PortalDerWirtschaft.de | 02635/9224-11
Suchmaschinenoptimierung
mit Content-Marketing - Ihre News
Doctor Web Deutschland GmbH |

Doctor Web entdeckt neuen Mining-Trojaner für Linux

Bewerten Sie hier diesen Artikel:
1 Bewertung (Durchschnitt: 5)


Das verdeckte Schürfen von Kryptowährungen gehört heute zu den weltweit am meist verbreiteten kriminellen Machenschaften. Das Team von Doctor Web entdeckte einen Mining-Trojaner, welcher in der Lage ist, Linux Computer zu infizieren. Der Schädling kann darüber hinaus auch weitere Netzwerkgeräte befallen und die auf einem PC installierte Virenschutzsoftware löschen.



Der Trojaner, welcher als Linux.BtcMine.174 in die Dr.Web Virendefinitionsdatei eingetragen wurde, stellt das in der sh-Sprache geschriebene Skript dar und enthält einen über 1.000 Zeilen langen Code. Der Schädling besteht aus mehreren Komponenten. Beim Starten prüft der Trojaner die Verfügbarkeit des Servers, von dem weitere böswillige Module heruntergeladen werden können. Anschließend sucht er nach einem Verzeichnis mit Schreibprivilegien, in dem diese Module platziert werden. Danach wird das Skript ins vordefinierte Verzeichnis verschoben und startet als Daemon. Dafür nutzt der Trojaner das Tool nohup. Wenn das Tool im System nicht verfügbar ist, lädt er das Toolpaket coreutils mit dem bereits erwähnten nohup-Tool herunter.

 

Wenn die Installation erfolgreich verläuft, lädt der Trojaner eine Version von Linux.BackDoor.Gates.9 herunter. Dieses ermöglicht die Übermittlung von Befehlen der Cyber-Kriminellen und die Durchführung von DDoS-Angriffen.

 

Konkurrenten werden ausgeschaltet:
Nach der Installation sucht Linux.BtcMine.174 nach Konkurrenz, die ebenfalls in der Lage ist, Kryptowährungen zu schürfen, und bricht Prozesse dieser böswilligen Programme ab. Wenn Linux.BtcMine.174 nicht durch den Benutzer (mit root-Rechten) gestartet wurde, nutzt der Schädling eine Reihe von Exploits aus. Die Virenanalysten von Doctor Web entdeckten mindestens zwei Exploits, die der Trojaner ausnutzt: Linux.Exploit.CVE-2016-5195 (auch bekannt als DirtyCow) und Linux.Exploit.CVE-2013-2094. Die aus dem Internet heruntergeladenen DirtyCow-Dateien werden auf dem infizierten Gerät kompiliert.

 

Anschließend versucht der Schädling Services von Virenschutzsoftware mit den Namen safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets und xmirrord zu finden. Sobald der Trojaner einen dieser Services entdeckt, bricht er nicht nur seinen Prozess ab, sondern löscht auch die Dateien und das Verzeichnis, in dem die Virenschutz-App installiert war.

 

Verbindung zum Server der Cyber-Kriminellen:
Anschließend trägt sich Linux.BtcMine.174 im Autostart ein, lädt ein Rootkit herunter und startet dieses auf dem infizierten PC. Dieses Modul ist auch als sh-Skript verfügbar und basiert auf dem früher frei verfügbaren Quellcode. Zu den Funktionen des Rootkit-Moduls gehört der Diebstahl von Benutzerdaten durch den su-Befehl, das Verdecken von Dateien im Dateisystem, Netzwerkverbindungen und Prozessen. Der Trojaner sammelt Daten über Netzwerke, mit denen früher via ssh verbunden wurde, und versucht, diese zu infizieren.

 

Infolge dieser Schritte startet Linux.BtcMine.174 einen Mining-Trojaner, der die Kryptowährung Monero (XMR) schürfen soll. Anschließend prüft der Trojaner, ob dieser Mining-Trojaner läuft, und startet ihn bei Bedarf neu. Er baut auch eine Verbindung zum Server der Cyber-Kriminellen auf und lädt verfügbare Updates herunter.

 

Linux.BtcMine.174 und seine Komponenten werden durch Dr.Web für Linux erfolgreich entdeckt und neutralisiert.


Für den Inhalt der Pressemitteilung ist der Einsteller, Sanja Jahn-Willkomm (Tel.: 069/97503139), verantwortlich.


Keywords: Antivirus, Dr.Web, Doctor Web, Linux, Trojaner

Pressemitteilungstext: 383 Wörter, 3569 Zeichen. Pressemitteilung reklamieren

Unternehmensprofil: Doctor Web Deutschland GmbH

Das russische Unternehmen Doctor Web Ltd. ist einer der führenden Hersteller von Anti-Virus- und Anti-Spam-Lösungen mit Hauptsitz in Moskau. Das Doctor Web Team entwickelt seit 1992 Anti-Malware-Lösungen und beschäftigt weltweit 400 Mitarbeiter, davon 200 im Research & Development. Doctor Web ist nicht nur Pionier, sondern auch einer der wenigen Anbieter, die ihre Lösungen vollständig innerbetrieblich entwickeln. Das Unternehmen legt großen Wert auf die effektive Beseitigung von Kundenproblemen und bietet schnelle Antworten auf akute Virengefahren. Die umfangreiche Produktpalette von Doctor Web umfasst effiziente Lösungen zur Absicherung von einzelnen Arbeitsplätzen bis hin zu komplexen Netzwerken. Im deutschsprachigen Raum werden die Produkte von der Doctor Web Deutschland GmbH in Frankfurt vertrieben. Zu den nationalen und internationalen Kunden zählen neben privaten Anwendern namhafte börsennotierte Unternehmen wie die russische Zentralbank, JSC Russian Railways, Gazprom oder Arcelor Mittal sowie Bildungseinrichtungen und öffentliche Auftraggeber wie das russische Verteidigungsministerium.


Kommentare:

Es wurde noch kein Kommentar zu diesem Thema abgegeben.



Ihr Kommentar zum Thema





Weitere Pressemitteilungen von Doctor Web Deutschland GmbH lesen:

Doctor Web Deutschland GmbH | 29.11.2018

Sicherheit für Rechner und Mobiltelefon im Doctor Web Adventskalender

In der Vorweihnachtszeit verlost Doctor Web auf Facebook 24 DVDs Dr.Web Security Space. Hinter jedem Türchen im Adventskalender von Doctor Web gibt es eine Lizenz zu gewinnen. Die DVD Dr.Web Security Space für 2 PCs hat eine Laufzeit von 2 Jahren...
Doctor Web Deutschland GmbH | 15.11.2018

Sicheres Online-Banking – Der Doctor Web Security-Tipp des Monats November

Doctor Web zeigt daher einfach umzusetzende Maßnahmen, wie Nutzer es Betrügern maximal erschweren, sensible Daten zu stehlen und so die Sicherheit beim Online-Banking erhöhen.    - Aktuelles Betriebssystem: Aufmerksamkeit und Technik sind beim B...
Doctor Web Deutschland GmbH | 09.11.2018

Hacker erbeutet 24.000 Dollar aus Krypto-Geldbörsen – Der Doctor Web Virenrückblick Oktober 2018

Der Cyber-Kriminelle, der auch unter den Namen Investimer, Hyipblock und Mmpower bekannt ist, setzt mit Stealern, Downloadern, Encodern und Minern ein breites Arsenal an böswilligen Tools ein. Krypotwährungen stellen dabei sein Spezialgebiet dar, m...