Ein neuer Backdoor-Trojaner, der Windows-Rechner infiziert und den Namen CowerSnail hat, wurde von Kaspersky entdeckt. Die Malware hat die Besonderheit, dass sie mit Qt erstellt wurde. Dadurch kann diese plattformübergreifend eingesetzt werden. Der Kaspersky-Forscher Sergey Yunakovsky fand zudem Verbindungen zu EternalRed heraus, welches ein Cryptocurrency-Miner für Linux-Server ist.

Laut Kaspersky verfügt CowerSnail bisher nur über wenige Grundfunktionen. Bisher lasse sich tatsächlich das Schadprogramm nur als Backdoor einsetzen, um Batch-Befehle auszuführen. Von einem Befehlsserver im Internet erhalte CowerSnail diese.

Die Malware kann über den Server Updates erhalten und sich als Windows-Dienst einrichten. CowerSnail sammelt darüber hinaus auch verschiedene Informationen über das infizierte System wie Details zur Prozessorarchitektur, der Windows-Version, den Netzwerkeinstellungen und dem physischen Speicher.

Allerdings wird der Server auch benutzt, um die Mining-Malware EternalRed zu verteilen, die Linux-Server mit veralteten Samba-Installationen angreift. Yunakovsky sagte: „SambaCry wurde für *nix-basierte Systeme (Unix, Linux) entwickelt. CowerSnail wiederum wurde mit Qt erstellt, was sehr wahrscheinlich bedeutet, dass der Autor sich nicht detailliert mit Windows-APIs beschäftigen wollte und den *nix-Code unverändert übertragen wollte“.

Der Sicherheitsexperte folgert daraus, dass CowerSnail auf das Konto der Gruppe geht, die auch hinter SambaCry steckt. „Nach der Entwicklung von zwei unterschiedlichen Trojanern, die jeweils für spezifische Plattformen entwickelt wurden und ihre besonderen Eigenheiten besitzen, ist es sehr wahrscheinlich, dass diese Gruppe künftig mehr Malware produzieren wird.“

(ms, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE