Xunpes – Vielseitiger Linux-Trojaner

wp_linux_trojVon Einseitigkeit keine Spur – Den russischen Sicherheits-Experten von Dr. Web ging ein Linux-Trojaner ins Netz, der sich durchaus als Multitalent entpuppt. “Xunpes” wie die Experten diese Malware nennen, öffnet nach Infizierung des Betriebssystems eine Hintertüre und lädt zusätzlichen Schadcode herunter. Diese ermöglicht es, das System und den Anwender u.a. über protokollierte Tastaturanschläge und Screenshots auszuspionieren!

Interessanterweise erzeugt Trojaner Linux.BackDoor.Xunpes.1 auf den infizierten Linux-Systemen eine Dialogbox des “Bitcoin ATM” eines spanischen Startups Pay MaQ und fordert die Eingabe der Zugangsdaten. Die Übermittlung der Daten wird üblicherweise mit einer Fehlermeldung quittiert, dennoch die Daten im Hintergrund an die Kriminellen übermittelt. Dennoch sind sich die Forscher von Dr.Web nicht sicher, ob diese Infektion eigens dafür entwickelt wurde.

Bildschirmfoto 2016-01-26 um 13.39.13

Gefälschter Dialog auf dem Linux-System, fordert zur Eingabe des Usernamen und Passwort auf.

Die Forscher fanden heraus, dass “Xunpes” über die kostenfreie Entwicklungsumgebung Lazarus entwickelt wurde und aus zwei Komponenten besteht. Einem generischen Dropper der Informationen des Linux-System sammelt und einem Backdoor-Trojaner der unter “/tmp/.ltmp/” hinterlegt wird und  u.a. benötigten Schadcode in Form diverser Module nachlädt. Insgesamt beherrscht die Infektion über 40 Befehle, die von den Angreifern über eine verschlüsselt Verbindung von kommunizierenden C&C Servern abgesetzt werden können. Über die verschiedensten Bash-Befehle sind den Kriminellen kaum Grenzen gesetzt, um unsichtbar auf dem System zu agieren, an benötigte Information zu gelangen, diese zu kopieren und darüber hinaus das System komplett zu übernehmen.

Bildschirmfoto 2016-01-26 um 13.07.04

Dr. Web: Linux.BackDoor.Xunpes.1
Added to Dr.Web virus database: 2016-01-20
Virus description was added: 2016-01-25
SHA1: e2432fa6c53dfb62aeba242cd28fc4d51a70dbe3 (backdoor)
de5cc2779b9519bc3bbbda084f0b4cb858d2f890 (dropper)

Lesen Sie weiteren Beitrag “JavaScript Ransomware für alle Plattformen möglich

Fazit: Laut den Forschern nimmt die Anzahl gefundener Malware für Linux immer weiter zu. Ein möglicher Infektions-Weg könnte über gefälschte Software auf dubiosen Webseiten sein, die nach Download und Installation, die Malware frei gibt. Dennoch wäre interessant, wie die Infektion an der Rechteverwaltung von Linux vorbei kommt.

 

Bild u. Commands: DrWeb 

1 thought on “Xunpes – Vielseitiger Linux-Trojaner”

  1. Aus den bisher gesehenen Beschreibungen dieser Schadsoftware sehe ich nicht, wozu dieses Programm überhaupt an der Rechteverwaltung vorbei müsste. Das Temporärverzeichnis ist für jeden beschreibbar, und das Programm kann auch im Benutzerkontext laufen.

    Interessant wäre zu erfahren, woher es kommt und wie es Ausführbarkeit erlangt.

Kommentare sind geschlossen.