Digital Life
24.11.2018

Neuer Linux-Kryptominer stiehlt das Root-Passwort

Der Trojaner liest Passwörter aus, deaktiviert den Antivirus, verbreitet sich über SSH und schürft Monero.

 

Generell gibt es weniger Malware für Linux- als für Windows-Rechner, doch auch die hier verwendete Schadsoftware mit der Zeit immer komplexer und ausgereifter. So hat der russische Antivirus-Hersteller Dr. Web laut einem Bericht von Zdnet einen Trojaner gefunden, er aus rund 1000 Zeilen Code besteht.

Der Trojaner mit dem Namen Linux.BtcMine.174 kopiert sich zuerst in einen Ordner, für den er Schreibberechtigungen hat und lädt anschließend weitere Module herunter. Ist er einmal im System, holt sich die Root-Berechtigungen und übernimmt somit die Kontrolle über das Linux-OS. Außerdem fügt der Trojaner sich selbst als Autorun-Funktion hinzu, lädt einen Rootkit herunter und führt diesen aus: So kann er zum Beispiel vom User eingegebene Passwörter auslesen.

Kryptomining via Trojaner

Anschließend tut er das, wofür er eigentlich geschrieben wurde: Er benutzt die Rechenleistung des PCs, um die Kryprowährung Monero zu schürfen. Damit er dabei die Power mit niemandem teilen muss, deaktiviert er vorher diverse andere Trojaner, die ebenfalls Kryptowährungen schürfen sollen.

Damit aber noch nicht genug: Außerdem deaktiviert Linux.BtcMine.174 diverse Antivirus-Lösungen die auf dem Rechner laufen. Laut Dr. Web wurden zum Beispiel Prozesse mit Namen wie   safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets und xmirrord vom Trojaner deaktiviert. Und schließlich versucht der Trojaner noch, sich über die SSH-Verbindung auf mit dem infizierten Gerät verbundene Rechner zu kopieren.

Dr. Web hat File-Hashes des Trojaners auf GitHub geladen, um jenen Systemadministratoren zu helfen, die ihre Systeme nach der relativ neuen Bedrohung durchsuchen wollen.