Doctor Web warnt vor Passwort-Klau mittels Linux.Sshdkit

Trojaner greift Linux-Server an

| Redakteur: Stephan Augsten

Der Trojaner Sshdkit hat es auf die Zugangsdaten zu Linux-Servern abgesehen.
Der Trojaner Sshdkit hat es auf die Zugangsdaten zu Linux-Servern abgesehen. (Bild: makspogonii - Fotolia.com)

Malware-Analysten von Doctor Web haben einen Trojaner untersucht, der speziell auf Linux-Server ausgelegt ist. Der Schadcode setzt sich im sshd-Prozess (Secure Shell Demon) fest und nutzt dessen Autorisierungsroutinen, um Benutzernamen und Passwörter zu stehlen.

Die Antivirus-Spezialisten von Doctor Web analysieren derzeit den Linux.Sshdkit, der als Library-Datei für 32- und 64-Bit-Versionen von Linux in Umlauf ist. Im Rahmen der Infektion injiziert die ihren Code in den Prozess Demon (sshd).

Die Analysten von Doctor Web hatten ein Sinkhole eingerichtet, um die Sshdkit-Anfragen an die Command-and-Control-Server abfangen zu können. Auf diesem Weg konnten die Sicherheitsforscher belegen, dass der Trojaner gestohlene Login-Daten versendet.

Sobald der Nutzer sich mit seinem Benutzernamen und einloggt, sendet der Trojaner die Anmeldedaten über zu einem Remote-Server. Die IP des Servers wurde fest in den Schadcode implementiert. Alle zwei Tage erzeugt Linux.Sshdkit jedoch eine neue Adresse, an die alle gestohlenen Informationen gesendet werden.

Um die neue zu generieren, erstellt ein spezieller Algorithmus zunächst einmal zwei -Namen. Beziehen sich diese auf die gleiche IP-Adresse, so wird ein zweiter Algorithmus aktiv. Dieser wandelt die erste Adresse anschließend in eine neue IP um.

Doctor Web hat seiner Antivirus-Datenbank eine entsprechende Signatur hinzugefügt und empfiehlt Administratoren von Linux-Servern, einen System-Check durchführen. Wenn die 20 bis 35 große Datei /lib/libkeyutils* gefunden wird, sei dies ein Zeichen für eine Infektion.

In der Aufstellung der Virus-Aktivitäten im Februar 2013 von Doctor Web finden sich weitere Details.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 38712540 / Malware)