Über unsMediaKontaktImpressum
25. August 2016

Trojaner Linux.Lady.1 in Google GO geschrieben

Sicherheitsanalysten von Doctor Web, einem Hersteller für Anti-Virus und Anti-Spam Lösungen, haben einen neuen Linux-Trojaner entdeckt, der Mining-Malware für Kryptowährungen auf dem infizierten PC startet. Der Trojaner "Linux.Lady.1" ist in Googles Programmiersprache GO geschrieben, was ihn außergewöhnlich macht.  

Linux.Lady.1 ist in der Lage, externe IP-Adressen von infizierten Rechnern zu bestimmen, Rechner gezielt anzugreifen sowie Mining-Malware für Kryptowährungen herunterzuladen und zu starten. Der Trojaner ist in Googles Programmiersprache Go geschrieben. Das ist für einen Trojaner dieser Art selten und macht ihn schwieriger auffindbar. Der Linux-Trojaner nutzt in seiner Architektur vielfältige, auf GitHub verfügbare Bibliotheken.

Nach dem Start übermittelt der Trojaner die Versionsdaten des installierten Betriebssystems Linux, die Prozessorenanzahl sowie die gestarteten Prozesse an den Remote-Server der Cyber-Kriminellen. Von diesem Server erhält der Trojaner eine Konfigurationsdatei, durch die eine Mining-Malware für Kryptowährungen installiert und gestartet wird. Dadurch werden die geminten Gelder auf das Konto der Cyber-Kriminellen transferiert. 

Weiterhin bestimmt der Trojaner über spezielle Webseiten eine externe IP-Adresse, um andere Rechner gezielt anzugreifen. Zunächst versucht er eine Verbindung zum Port herzustellen und greift dann auf den Redis (remote dictionary server) zu. Durch eine fehlerhafte Konfiguration durch den Systemadministrator bzw. wenn kein Passwort eingerichtet wurde, gelingt dieser Versuch. Bei erfolgreicher Verbindung, schreibt der Trojaner im cron eines Remote-Rechners ein Skript ein, welches Linux.Lady.1 herunterlädt und auf dem infizierten PC installiert. Der Trojaner fügt anschließend einen neuen Schlüssel zum Verbindungsaufbau via SSH in die Liste der autorisierten Schlüssel ein. 

LB

Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.

botMessage_toctoc_comments_9210