Connect with us

technokrata

Újabb, Linuxok ellen irányuló fenyegetés

Dotkom

Újabb, Linuxok ellen irányuló fenyegetés

Még egy hónap sem telt el a Sendmail legújabb változatának fertőzöttsége óta, s most egy másik fenyegetés veszélyezteti a linuxos és UNIX-os rendszereket.

A trójai program tulajdonságai

Felfedezésének ideje: 2002. november 14.
Utolsó frissítés ideje: 2002. november 14.
Veszélyeztetett rendszerek: Unix, Linux
Nem érintett rendszerek: Windows 3.x/9x/Me/NT/2k/XP, Microsoft IIS, Macintosh, OS/2
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: könnyű
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– elsősorban a libpcap-0.7.1, tcpdump-3.6.2, tcpdump-3.7.1 scripteket érinti a probléma, de vélhetőleg más libpcap és tcpdump forráscsomagok is veszélyeztetettek lehetnek
– egy ilyen csomag feltelepítése után a módosított ˝konfigurációs˝ script letölti a mars.raketti.net website-ról a ˝services˝ file-t és futtatja azt; ez a /etc/services alatti többi services-hez hasonlóan viselkedik, de beágyazott utasításokat tartalmaz, melyek révén megnyitja a rendszert
– conftes.c néven felmásol egy C programot, amit befordít az aktuális felhasználó shelljének neve alatt; majd lefuttatja
– a fenti állomány csatlakozást kezdeményez a 212.146.0.34-es IP-címhez a 1963-as TCP porton keresztül
– ha sikerül, parancs(ok)ra vár a támadótól, amely akár a shell megnyitására is képes a fertőzött számítógépen
– a script letörli bináris változatát majd saját magát is
– mivel a libpcap forráscsomagja a pcap_compile() funkció módosított változatát hordozza a gencode.c állományban, ezért képes az 1963-as porton átmenő forgalmat elrejteni az ellenőrzés elől, így észrevétlenül kommunikálhat a trójai



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek