Noch Ende 2016 haben die Virenanalysten von Doctor Web von einem rapiden Wachstum von Malware für Linux berichtet. Schon im Januar 2017 hat man mehrere Tausend Linux-Geräte entdeckt, die durch einen neuen Trojaner infiziert wurden.

Der neue Trojaner für Linux-Betriebssysteme heißt Linux.Proxy.10. Der Schädling startet den Proxyserver SOCKS5 auf dem infizierten Gerät, der auf einem offenen Quellcode von Satanic Socks Server basiert. Cyber-Kriminelle verwenden den Trojaner, um ihre Anonymität im Internet zu gewährleisten.

Zur Verbreitung von Linux.Proxy.10 melden sich die Übeltäter via SSH an. Dabei wird die Liste von Geräten sowie Benutzername und Passwort auf ihrem Server abgespeichert. Die Liste sieht wie folgt aus: „IP-адрес:login:password“. Interessant ist, dass auch andere Linux-Trojaner Konten mit solchen Benutzerdaten erstellen. Mit anderen Worten dringt Linux.Proxy.10 in Rechner mit Standardeinstellungen oder Geräte ein, die bereits durch Malware für Linux infiziert wurden.

Mit Hilfe der Liste wird ein Szenario erstellt, welches auf infizierten Geräten durch das Tool sshpass ausgeführt wird. So wird das System mit dem Trojaner Linux.Proxy.10 infiziert.

Außerdem wurde auf dem Server von Cyber-Kriminellen, die den Trojaner verbreiten, eine Verwaltungsoberfläche für den Spy-Agent sowie eine kompilierte Version von Malware für Windows entdeckt, die zur Spyware-Familie BackDoor.TeamViewer gehört.

Um eine Verbindung zum durch Linux.Proxy.10 gestarteten Proxyserver aufzubauen, müssen Cyber-Kriminelle nur eine IP-Adresse des infizierten Geräts und eine Portnummer kennen. Laut Angaben der Virenanalysten von Doctor Web beträgt die Anzahl von durch Linux.Proxy.10 infizierten Geräten zum 24. Januar 2017 mehrere Tausend.

Um Ihr Gerät gegen den Trojaner Linux.Proxy.10 zu schützen, führen Sie bei Verdacht der Infizierung die Virenprüfung via SSH durch Dr.Web Antivirus 11.0 für Linux durch.