Een Trojaans paard dat Linux-servers infecteert, onder andere bij grote hostingproviders, heeft inmiddels 562 machines besmet en wordt actief onderhouden om detectie door anti-virusbedrijven te bemoeilijken. Het gaat om de Sshdkit Trojan, waarvan zowel een 32-bit als 64-bit versie bestaat. Eenmaal actief injecteert de Trojan kwaadaardige code in het sshd proces.
Deze code wordt gebruikt om de inloggegevens van gebruikers te stelen. Zodra een gebruiker inlogt worden zijn gebruikersnaam en wachtwoord naar een remote server gestuurd. Het Russische anti-virusbedrijf Dr. Web wist één van deze servers te kapen en kon zo het aantal besmette servers achterhalen.
Infecties
In mei stuurde de malware de gegevens van 562 besmette Linux-servers naar de Command & Control-server die Dr. Web had overgenomen. In maart stond de teller nog op 476. De makers van de Linux-malware hebben inmiddels een nieuwe variant voor 64-bit Linux-versies ontwikkeld.
Deze versie gebruikt een tekststring versleuteld met een 128-bit RSA encryptiesleutel om de remote server te bepalen waar de gestolen gegevens naar toe moeten.
"Aangezien Sshdkit criminelen in staat stelt om informatie te bemachtigen waarmee ze ongeautoriseerde servertoegang kunnen krijgen, vormt het een grote dreiging voor Linux-servers", aldus de virusbestrijder. Hoe de malware zich precies verspreidt is nog altijd onbekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.