Linux-cryptominer steelt wachtwoorden en zet antivirussoftware uit

Onderzoekers van de Russische antivirusfabrikant Dr. Web hebben een nieuwe vorm van malware gevonden die wachtwoorden steelt en antivirussoftware uitzet. Het gaat om een nog naamloze trojan, die zich op Linux richt. Dat meldt ZDNet

De trojan zelf is een gigantisch shell script met ruim 1.000 regels code. Het script is het eerste bestand dat uitgevoerd wordt op een geïnfecteerd Linux-systeem. Het script zoekt een map op de schijf waar het toestemmingen in moet zetten, zodat het zichzelf kan kopiëren en kan gebruiken om andere modules te downloaden.

Vervolgens gebruikt het een van de twee exploits met de naam CVE-2016-5195 en CVE-2013-2094 om root-toestemming te krijgen en volledige toegang te krijgen tot het besturingssysteem. Daarna zet het zichzelf neer als een lokale daemon, en download het de nohup-toepassing om de operatie uit te voeren.

Cryptovaluta minen

De volgende stap is het uitvoeren van de voornaamste doelstelling: het minen van cryptovaluta. Eerst worden de processen van diverse concurrerende mining-malware opgezocht en uitgeschakeld, waarna het zijn eigen Monero-mining operatie begint. Ook wordt er andere malware gedownload en uitgevoerd. Het gaat om de Bill.Gates-trojan, een vorm van DDoS-malware dat met diverse functies die op achterdeurtjes lijken komt.

De trojan zoekt verder naar processen met namen die geassocieerd zijn met antivirusoplossingen en schakelt die uit. De onderzoekers zeggen dat ze gezien hebben hoe de trojan processen met namen als safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, en xmirrord uitschakelde.

Ook wordt er een rootkit gedownload en uitgevoerd. Die rootkit heeft componenten die nog verder het systeem in gaan. Zo kan de rootkit wachtwoorden voor het su-commando die door de gebruiker zijn ingetypt stelen. Tot slot wordt er een functie uitgevoerd die informatie verzameld over alle remote servers waar de geïnfecteerde computer via SSH verbinding mee heeft gemaakt, waarna het probeert verbinding te maken met deze machines. Op die manier wil de trojan zichzelf verder verspreiden.