PresseBox
Pressemitteilung BoxID: 581981 (Doctor Web Deutschland GmbH)
  • Doctor Web Deutschland GmbH
  • Platz der Einheit 1
  • 60327 Frankfurt
  • http://www.drweb-av.de
  • Ansprechpartner
  • Mandy Kuhl
  • +49 (89) 628175-20

Linux.Sshdkit greift Linux-Server an

(PresseBox) (Hanau, ) Aufgrund der wachsenden Anzahl von Sicherheitsbedrohungen bezüglich dem Linux Webserver hat der Antivirensoftware-Hersteller Doctor Web eigene Untersuchungen durchgeführt. Das Ergebnis der Analysten: der von Doctor Web so genannte Trojaner Linux.Sshdkit stiehlt Passwörter auf Servern, die mit Linux betrieben werden.

Pierre Curien, Geschäftsführer bei Doctor Web: "Die Malware ist eine Library-Datei für 32- und 64-Bit-Linux-Versionen. Obwohl bisher unklar ist, wie sich der Trojaner verbreitet, scheint er kritische Schwachstellen auszunutzen, um sich auf angegriffenen Servern zu installieren. Version 1.2.1 ist die neueste Trojaner-Version, die Doctor Web bekannt ist, während eine der früheren Versionen 1.0.3 sich schon länger verbreitet hat."

Nach erfolgreicher Installation, injiziert der Trojaner seinen Code in den sshd-Prozess und nutzt dessen Autorisierungs-Routinen. Sobald eine Session gestartet wird und ein Nutzer seinen Benutzernamen und das Passwort eingegeben hat, sendet der Trojaner diese Informationen über UDP zu einem Remote-Server. Die IP vom Control Server ist in die Malware fest einprogrammiert. Der Trojaner erzeugt allerdings alle zwei Tage eine neue Befehls-Server-Adresse durch die Verwendung einer nicht-trivialen Routine.

Linux.Sshdkit verwendet einen speziellen Algorithmus um zwei DNS-Namen zu generieren, und wenn sich beide auf die gleiche IP-Adresse beziehen, wird diese Adresse zu einer anderen IP konvertiert, auf die der Trojaner die gestohlenen Informationen sendet. Die Routine die verwendet wird, um Command Server Adressen zu generieren ist im Diagramm beschrieben.

Doctor Web-Analysten verwendeten ein Sinkhole um einen Linux.Sshdkit Kontroll-Server zu hijacken und bestätigten somit, dass der Trojaner gestohlene Logindaten und Passwörter zu Remote-Hosts sendet.

Die Signatur des Trojaners wurde der Virus-Datenbank von Doctor Web hinzugefügt. Doctor Web empfiehlt, dass alle Administratoren von Linux-Servern einen System-Check durchführen. Wenn die Datei /lib/libkeyutils* (von 20 bis 35 KB) im System gefunden wird, ist es ein Zeichen für eine Infektion.

Website Promotion

Doctor Web Deutschland GmbH

Das russische Unternehmen Doctor Web Ltd. ist einer der führenden Hersteller von Antivirus- und Anti-Spam-Lösungen mit Hauptsitz in Moskau. Das Doctor Web Team verfügt über eine 20-jährige Erfahrung in der Anti-Malware-Entwicklung und beschäftigt weltweit 190 Mitarbeiter, davon 100 im Research & Development. Doctor Web ist nicht nur Pionier, sondern auch einer der wenigen Anbieter, die ihre Lösungen vollständig innerbetrieblich entwickeln. Das Unternehmen legt großen Wert auf die effektive Beseitigung von Kundenproblemen und bietet schnelle Antworten auf akute Virengefahren. Die umfangreiche Produktpalette von Doctor Web umfasst effiziente Lösungen zur Absicherung von einzelnen Arbeitsplätzen bis hin zu komplexen Netzwerken. Im deutschsprachigen Raum werden die Produkte von der Doctor Web Deutschland GmbH in Hanau vertrieben. Zu den nationalen und internationalen Kunden zählen neben privaten Anwendern namhafte börsennotierte Unternehmen wie Die Bank von Russland, die Russische Bahn, Gazprom oder Arcelor Mittal sowie Bildungseinrichtungen und öffentliche Auftraggeber wie das Russische Verteidigungsministerium. Weitere Informationen finden Sie unter www.drweb-av.de