Entdeckung eines in Google GO geschriebenen Linux-Trojaners
Die Sicherheitsanalysten von Doctor Web haben einen neuen Linux-Trojaner entdeckt, der Mining-Malware für Kryptowährungen auf dem infizierten PC startet. Der Trojaner ist in Googles Programmiersprache GO geschrieben, was ihn so außergewöhnlich macht.
Linux.Lady.1 (firmenpresse) - Der Trojaner Linux.Lady.1 ist in der Lage, externe IP-Adressen von infizierten Rechnern zu bestimmen, Rechner gezielt anzugreifen sowie Mining-Malware für Kryptowährungen herunterzuladen und zu starten. Linux.Lady.1 ist in Googles Programmiersprache Go geschrieben, was für einen Trojaner dieser Art eine Seltenheit darstellt und ihn schwieriger auffindbar macht. In seiner Architektur nutzt er vielfältige Bibliotheken, die auf GitHub verfügbar sind.
Nach dem Start von Linux.Lady.1 übermittelt er die Versionsdaten des installierten Betriebssystems Linux, die Anzahl der Prozessoren und gestarteten Prozesse an den Remote-Server der Cyber-Kriminellen. Von diesem Server erhält der Trojaner eine Konfigurationsdatei, durch die eine Mining-Malware für Kryptowährungen installiert und gestartet wird. Auf diese Weise werden die geminten Gelder auf das Konto der Angreifer transferiert.
Über spezielle Webseiten bestimmt Linux.Lady.1 eine externe IP-Adresse um andere Rechner gezielt anzugreifen. Der Trojaner versucht zunächst eine Verbindung zum Port herzustellen und greift dann auf den Redis (remote dictionary server) zu. Bei fehlerhafter Konfiguration durch den Systemadministrator - also wenn kein Passwort eingerichtet ist - gelingt dieser Versuch. Nach erfolgreicher Verbindung schreibt der Trojaner im cron eines Remote-Rechners ein Skript ein, welches von Dr.Web Antivirus als Linux.DownLoader.196 erkannt wird. Dieses Skript lädt dann Linux.Lady.1 herunter und installiert ihn auf dem infizierten Rechner. Anschließend fügt der Trojaner einen neuen Schlüssel zum Verbindungsaufbau via SSH in die Liste der autorisierten Schlüssel ein.
Die Antivirensoftware von Doctor Web entdeckt und löscht Linux.Lady.1 und Linux.DownLoader.196. Sie stellen daher keine Gefahr für Benutzer von Dr.Web dar.
Themen in dieser Pressemitteilung:
antivirus
pc-sicherheit
it-sicherheit
malware
adware
riskware
hacker
trojaner
doctor-web
dr-web
antiviren
software
antiviren
programm
it
sicherheit
pc
sicherheit
google-go
linux
Unternehmensinformation / Kurzprofil:
Das russische Unternehmen Doctor Web Ltd. ist einer der führenden Hersteller von Anti-Virus- und Anti-Spam-Lösungen mit Hauptsitz in Moskau. Das Doctor Web Team entwickelt seit 1992 Anti-Malware-Lösungen und beschäftigt weltweit 400 Mitarbeiter, davon 200 im Research & Development. Doctor Web ist nicht nur Pionier, sondern auch einer der wenigen Anbieter, die ihre Lösungen vollständig innerbetrieblich entwickeln. Das Unternehmen legt großen Wert auf die effektive Beseitigung von Kundenproblemen und bietet schnelle Antworten auf akute Virengefahren. Die umfangreiche Produktpalette von Doctor Web umfasst effiziente Lösungen zur Absicherung von einzelnen Arbeitsplätzen bis hin zu komplexen Netzwerken. Im deutschsprachigen Raum werden die Produkte von der Doctor Web Deutschland GmbH in Frankfurt vertrieben. Zu den nationalen und internationalen Kunden zählen neben privaten Anwendern namhafte börsennotierte Unternehmen wie die russische Zentralbank, JSC Russian Railways, Gazprom oder Arcelor Mittal sowie Bildungseinrichtungen und öffentliche Auftraggeber wie das russische Verteidigungsministerium.
WE Communications
Теl.: +49 (0)89 6281 75 0
Fax: +49 (0)89 6281 75 11
E-Mail: pr(at)drweb-av.de
WE Communications
Теl.: +49 (0)89 6281 75 0
Fax: +49 (0)89 6281 75 11
E-Mail: pr(at)drweb-av.de
Datum: 25.08.2016 - 09:02 Uhr
Sprache: Deutsch
News-ID 1392653
Anzahl Zeichen: 2097
Kontakt-Informationen:
Ansprechpartner: Sanja Jahn-Willkomm
Stadt:
Frankfurt
Telefon: 069/97503139
Kategorie:
Sicherheit
Meldungsart: Unternehmensinformation
Versandart: Veröffentlichung
Freigabedatum: 25.08.2016
Diese Pressemitteilung wurde bisher 657 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Entdeckung eines in Google GO geschriebenen Linux-Trojaners "
steht unter der journalistisch-redaktionellen Verantwortung von
Doctor Web Deutschland GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Um den Trojaner auf die Geräte zu bekommen, betten Cyber-Kriminelle ihn zunächst in harmlos anmutende Software ein. Doctor Web entdeckte Android.InfectionAds.1 dabei in folgenden Apps: HD Camera, Tabla Piano Guitar Robab, Euro Farming Simulator 2018 und Touch on Girls. Beim Starten einer der o
Sicherheitslücke im UC Browser und Counter-Strike-Client – der Doctor Web Virenrückblick für März 2019 ...
Beispielsweise haben sich die Aktivitäten von Trojan.MulDrop8.60634 fast verdreifacht und auch die Anzahl der Bedrohungen von Trojan.Packed.24060 und Adware.OpenCandy.243 ist im vergangenen Monat signifikant gestiegen. Während Adware.OpenCandy weitere Software und Trojan.MulDrop mehrere Trojaner i
Hunderte Millionen Android-Nutzer von Sicherheitslücke im UC Browser bedroht ...
Die Virenanalysten von Doctor Web analysierten die Sicherheitslücke wie folgt: Die App erhält vom Verwaltungsserver Befehle zum Herunterladen neuer Bibliotheken und Module. Diese rüsten die App dann mit neuen Funktionen auf und können zum Update der App verwendet werden. Bei der vorgenommenen An
Weitere Mitteilungen von Doctor Web Deutschland GmbH
Veröffentlichung von Dr.Web CureNet! 10.0 für iOS ...
Mit Dr.Web CureNet! werden Objekte geprüft und behandelt, auch wenn Virenschutzsoftware anderer Hersteller auf den Rechnern installiert ist. Zusätzlich ist es möglich, Netzwerke zu prüfen, die keinen Internetzugang haben. Jede Remote-Workstation kann während der Malwareprüfung vom Netzwerk get
Keine Utopie mehr: Volle Kontrolle über die eigene Digitale Identität! ...
Halle (Saale), 11. August 2016 (wukicom): Während konventionelle Cloud-Betreiber Daten nur für die Übertragung verschlüsseln, aber ungeschützt ablegen, verschlüsselt SENGI die Daten nicht nur mit dem bestmöglichen Code (AES-256), sondern verteilt sie zudem in Fragmenten auf alle Cloud-Speiche
Bedrohungshighlights für den Monat Juli 2016 ...
Im Juli 2016 entdeckten die Sicherheitsanalysten von Doctor Web Android.Spy.178.origin, der von Cyber-Kriminellen in eine angepasste Version des Smartphone-Spiels Pokémon Go integriert wurde. Die Applikation sammelt auf dem Endgerät des Opfers sensible Daten und übermittelt diese an den Auftragge
Covata’s file sharing platform awarded Tier Two Classification on G Cloud 8 ...
Safe Share Gov + Premium is the only file sharing application to be approved for service up to this classification Covata Limited (ASX: CVT), a global leader in data-centric security solutions for enterprises, today announced that its flagship file sharing application has been awarded Secret Clas
