Die Malware XOR.DDoS greift Linux-Rechner an, um ein Botnet zu erzeugen und Denial-of-Service-Angriffe zu starten. Unter anderem installiert sie auch ein Rootkit auf dem Rechner, das der Antivirenhersteller Avast nun dokumentiert.

Ende September hat die Webseite Malwaremustdie.org erstmals auf die wohl aus China stammende ELF-Malware hingewiesen. Das Blog erklärt, dass die Software kein Shellshock-Exploit verwendet. Um auf einen Rechner zu gelangen, nutzt sie vielmehr eine Brute-Force-Attacke auf SSH. Stößt sie auf einen mit einem schwachen Passwort abgesicherten SSH-Server, findet sie das Passwort heraus und schiebt dann ein Shellskript auf diesen Server.

Wie das Avast-Blog berichtet, installiert die Malware zudem ein Rootkit, um die Aktivitäten zu verstecken. Zunächst findet sie dazu heraus, welcher Kernel und welche Module auf dem System laufen. Gibt es bereits eine vorgebaute Version des Rootkits auf dem Command & Control Server (C&C), lädt die Malware diese herunter, andernfalls schickt sie Informationen über den installierten Kernel an den C&C-Server.

Das Rootkit ist ein ladbares Kernelmodul, das Flooding-Kommandos ausführen und Ports verstecken soll. Es kommuniziert verschlüsselt mit dem C&C-Server. Da es auch auf ARM-Rechnern läuft, gehen die Avast-Autoren davon aus, dass die Autoren Router und anderer Netzwerk-Hardware als Ziele im Auge haben. Die Verbreitung der Malware sei bislang allerdings nicht groß, auch ein Muster sei nicht zu erkennen.