Der Trojaner Linux.BtcMine.174 legt vielfältige Schadfunktionen an den Tag und infiziert Linux-PCs. Primär zwackt der Schädling heimlich Rechenleistung ab, um die Krypto-Währung Monero zu schürfen. Doch er kann noch mehr, wie Sicherheitsforscher von Dr. Web in einem Beitrag berichten.

Zum jetzigen Zeitpunkt ist noch unklar wie eine Infektion abläuft. Auf das Ausmaß der Kampagne gehen die Sicherheitsforscher auch nicht ein. Die Indikatoren wie Dateinamen und Domains listet Dr. Web auf, aus denen kann auf eine Infektion geschloßen werden. Der Trojaner nistet sich im Autostart ein.

Hat der Schädling einen Computer infiziert und noch keine Root-Rechte, soll er versuchen durch die Sicherheitslücken CVE-2013-2094 und CVE-2016-5159 Dirty Cow sich höhere Rechte anzueignen. Für beide Lücken stehen Sicherheitsupdates bereit und Linux-Nutzer sollten sicherstellen, dass ihre Systeme dagegen geschützt sind.

Über verschiedene Module soll sich Linux.BtcMine.174, die er herunterlädt, aufrüsten können. Zum Beispiel hinterlegt er eine Backdoor, sodass die Drahtzieher infizierte Computer für DDoS-Attacken missbrauchen könnten. Auch das Deaktivieren von Anti-Viren-Software soll zu seinem Repertoire gehören.

Zudem legt er ein Rootkit auf infizierten Computern ab, um noch mehr Schadenswerk anzurichten. Im Anschluss kann er unter anderem Tastatureingaben mitschneiden und an die Drahtzieher schicken. Dr. Web warnt, dass ein befallener Computer dem Schädling nicht genug ist und er sich wurmartig verbreitet. Um das zu bewerkstelligen, sammelt er Infos über Computer, die in der Vergangenheit eine SSH-Verbindung mit dem infizierten PC eingegangen sind.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE