Malware-Analysten von Doctor Web haben einen Trojaner untersucht, der speziell auf Linux-Server ausgelegt ist. Der Schadcode setzt sich im sshd-Prozess (Secure Shell Demon) fest und nutzt dessen Autorisierungsroutinen, um Benutzernamen und Passwörter zu stehlen.
Die Antivirus-Spezialisten von Doctor Web analysieren derzeit den Trojaner Linux.Sshdkit, der als Library-Datei für 32- und 64-Bit-Versionen von Linux in Umlauf ist. Im Rahmen der Infektion injiziert die Malware ihren Code in den Prozess Secure Shell Demon (sshd).
Die Analysten von Doctor Web hatten ein Sinkhole eingerichtet, um die Sshdkit-Anfragen an die Command-and-Control-Server abfangen zu können. Auf diesem Weg konnten die Sicherheitsforscher belegen, dass der Trojaner gestohlene Login-Daten versendet.
Funktionsweise
Sobald der Nutzer sich mit seinem Benutzernamen und Passwort einloggt, sendet der Trojaner die Anmeldedaten über UDP zu einem Remote-Server. Die IP des Servers wurde fest in den Schadcode implementiert. Alle zwei Tage erzeugt Linux.Sshdkit jedoch eine neue Adresse, an die alle gestohlenen Informationen gesendet werden.
Um die neue IP-Adresse zu generieren, erstellt ein spezieller Algorithmus zunächst einmal zwei DNS-Namen. Beziehen sich diese auf die gleiche IP-Adresse, so wird ein zweiter Algorithmus aktiv. Dieser wandelt die erste Adresse anschließend in eine neue IP um.
Gegenmaßnahmen
Doctor Web hat seiner Antivirus-Datenbank eine entsprechende Signatur hinzugefügt und empfiehlt Administratoren von Linux-Servern, einen System-Check durchführen. Wenn die 20 bis 35 Kilobyte große Datei /lib/libkeyutils* gefunden wird, sei dies ein Zeichen für eine Infektion.