Darlloz war ursprünglich ein Wurm, der klassische Computer und mit dem Internet verbundene Haushaltsgeräte mit Linux-Betriebssystem befiel. Nun wurde er aktualisiert, um Kryptowährungen einzusammeln.

Kaoru Hayashi von Symantec schrieb in einem Blogartikel, dass zu Beginn dieses Jahres mehr als 31.000 Geräte mit dem Wurm infiziert waren. Der Wurm wurde im November 2013 entdeckt, damals zielte er nur auf Systeme mit Intel x86 ab. Hayashi:

„Sobald ein Computer mit Intel-Architektur mit der neuen Variante infiziert wird, installiert der Wurm cpuminer, eine Open Source Coin Mining Software.“

Statt auf die verbreiteteren und wertvolleren Bitcoins abzuzielen, fokussiert sich Darlloz nun auf Mincoins und Dogecoins.

„Der Grund dafür: Mincoin und Dogecoin nutzen den scrypt-Algorithmus, was immer noch erfolgreich auf Home-PCs funktioniert. Bitcoin benötigt Chips mit maßgeschneiderten ASICs (application-specific integrated circuit), um profitabel zu sein.“

Laut Hayashi sammelte der Wurm so bis Ende Februar 2013 200 US-Dollar an Mincoins und Dogecoins. „Dies ist ein recht niedriger Betrag für cyberkriminelle Aktivitäten“, aber er steigt mit der Weiterentwicklung der Software sicher noch an.

„Der Urheber des Wurms aktualisiert den Code regelmäßig und fügt weitere Funktionen hinzu – mit dem Fokus auf Gewinnmaximierung.“

Wie auch bei früheren Versionen hindert Darlloz andere Malware daran, sich auf dem Computer oder Gerät zu verbreiten. Es versperrt außerdem anderen Angreifern den Weg über bereits erstellte Backdoors in das System, indem Darlloz eine neue Firewall erschafft.

Letzten November fand Symantec heraus, dass Darlloz für das „Internet der Dinge“ wie Router und Sicherheitskameras geschaffen wurde. Allerdings wurden bisher keine Angriffe auf diese Geräte entdeckt. Inzwischen wurden 38% aller mit dem Internet verbundenen Haushaltsgeräte mit Darlloz infiziert, so die Firma. Die Hälfte aller Vorfälle beschränkt sich auf die USA, China, Südkorea, Taiwan und Indien.

Als Sicherheitsmaßnahme wird empfohlen, jede Software regelmäßig auf ihre Aktualität zu überprüfen. Außerdem sollten Default-Passwörter geändert werden und die Verbindung mit Port 23 oder 80 gekappt werden, wenn diese nicht benötigt werden.

Artikel von net-security.org, 20.03.2014: Over 31,000 IoT devices and computers infected by cryptocoin-mining worm
Artikel von computerworld.com, 19.03.2014: The Darlloz Linux worm diversifies to mine cryptocurrencies