Linux.Proxy.10 neuer Linux Trojaner

Der neue Trojaner für Linux-Betriebssysteme heißt Linux.Proxy.10. Der Schädling startet den Proxyserver SOCKS5 auf dem infizierten Gerät, der auf einem offenen Quellcode von Satanic Socks Server basiert. Cyber-Kriminelle verwenden den Trojaner, um ihre Anonymität im Internet zu gewährleisten.

Dr. Web Spezialisten für Datensicherheit

Zur Verbreitung des Trojaners melden sich die Übeltäter via SSH an. Dabei wird die Liste von Geräten sowie Benutzername und Passwort auf ihrem Server abgespeichert. Die Liste sieht laut den Sicherheitsspezialisten von Dr. Web wie folgt aus: „IP-адрес:login:password“. Interessant ist, dass auch andere Linux-Trojaner Konten mit solchen Benutzerdaten erstellen. Mit anderen Worten dringt Linux.Proxy.10 in Rechner mit Standardeinstellungen oder Geräte ein, die bereits durch Malware für Linux infiziert wurden.

Bereits tausende von Linux Geräten mit Linux.Proxy.10 infiziert

Mit Hilfe der Liste wird ein Szenario erstellt, welches auf infizierten Geräten durch das Tool sshpass ausgeführt wird. So wird das System mit dem Trojaner Linux.Proxy.10 infiziert.

Außerdem wurde auf dem Server von Cyber-Kriminellen, die den Trojaner verbreiten, eine Verwaltungsoberfläche für den Spy-Agent sowie eine kompilierte Version von Malware für Windows entdeckt, die zur Spyware-Familie BackDoor.TeamViewer gehört.

Um eine Verbindung zum durch den Trojaner gestarteten Proxyserver aufzubauen, müssen Cyber-Kriminelle nur eine IP-Adresse des infizierten Geräts und eine Portnummer kennen. Laut Angaben der Virenanalysten von Doctor Web beträgt die Anzahl von durch Linux.Proxy.10 infizierten Geräten zum 24. Januar 2017 mehrere Tausend.

Kommentar verfassen