Gleichzeitig 256 IP-Adressen scannen
Neuer Linux-Trojaner spielt Ping Pong mit Server
Bei erfolgreicher Verbindung bestimmt der Schädling die IP- und MAC-Adresse des infizierten Endgerätes
(19.12.14) - Die IT-Sicherheitsanalysten von Doctor Web haben einen gefährlichen Linux-Trojaner entdeckt, der DDoS-Angriffe in großem Stil organisieren kann. Der Schädling wurde in die Dr.Web-Virendatenbank unter dem Namen Linux.BackDoor.Fgt.1 eingetragen. Sobald Linux.BackDoor.Fgt.1 auf einem befallenen Device gestartet wird, prüft er, ob es eine Internetverbindung gibt, indem er auf einen der Google-Server zugreift. Bei erfolgreicher Verbindung bestimmt der Schädling die IP- und MAC-Adresse des infizierten Endgerätes. Danach versucht Linux.BackDoor.Fgt.1 eine Verbindung mit einem vorgegebenen Server aufzubauen, indem er ihm Informationen zu seiner Version schickt. Anschließend wartet Linux.BackDoor.Fgt.1 auf einen Datenblock, der einen auszuführenden Befehl enthält. Wenn vom Verwaltungs-Server ein "Ping"-Befehl ausgeht, antwortet der Trojaner mit "Pong" und fährt mit seiner Mission fort. Beim Befehl DUP schließt Linux.BackDoor.Fgt.1 seine Arbeit ab.
Der Trojaner kann in einem von den Cyber-Kriminellen gestarteten Zyklus gleichzeitig 256 entfernte IP-Adressen scannen. Bei der Generierung von IP-Adressen prüft Linux.BackDoor.Fgt.1, ob sie in Bandbereichen liegen, die in lokalen Netzwerken verwendet werden. Solche IP-Adressen werden ignoriert. Bei Misserfolg sendet Linux.BackDoor.Fgt.1 eine entsprechende Mitteilung an den Verwaltungsserver. Wurde die Internetverbindung aufgebaut, sucht der Trojaner eine Verbindung zu einem Port des Fernknotens via Telnet und verlangt nach einem Benutzernamen. Nachdem Linux.BackDoor.Fgt.1 einen Benutzernamen verschickt hat, analysiert er die Rückmeldungen. Wenn er auf die Aufforderung zur Passworteingabe trifft, versucht er sich durch das multiple Auswählen von Passwörtern anzumelden.
Bei Erfolg versendet Linux.BackDoor.Fgt.1 an den Verwaltungsserver eine IP-Adresse, einen Benutzernamen und ein Passwort für das Endgerät, zu dem entsprechende Benutzerdaten erfolgreich gefunden wurden. Währenddessen wird an den anzugreifenden Knoten ein spezielles Skript verschickt. Dieses Skript dient zum Download und Start des Trojaners. Bemerkenswert ist, dass es auf dem Server eine Menge ausführbarer Dateien von Linux.BackDoor.Fgt.1 gibt, die für verschiedene Versionen und Installationsdateien von Linux, u.a. für Systeme mit der Architektur von MIPS- und SPARC-Servern, kompiliert sind. So kann der Trojaner nicht nur die mit dem Internet verbundenen Server und Workstations unter Linux, sondern auch andere Endgeräte, u.a. Router, infizieren.
Linux.BackDoor.Fgt.1 kann mehrere Arten von Befehlen ausführen:
>> IP-Adresse des infizierten Endgerätes anfordern;
>> Starten und Abbrechen der Scans;
>> Vorgegebenen Knoten Typ DNS Amplification angreifen;
>> Vorgegebenen Knoten Typ UDP Flood angreifen;
>> Vorgegebenen Knoten Typ SYN Flood angreifen;
>> DDoS-Angriff abbrechen;
>> Funktion des Trojaners abbrechen.
(Doctor Web: ra)
Doctor Web: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.