Security Lab

Virus.Linux.RST.a

Virus.Linux.RST.a

Linux вирус, который также открывает удаленный доступ к локальному компьютеру. Он позволяет атакующему получить управление инфицированной системой в том случае, если вирус запущен пользователем с правами системного администратора root.

Этот текст был написан Костин Раю (Costin Raiu) Румыния

Linux вирус, который также открывает удаленный доступ к локальному компьютеру. Он позволяет атакующему получить управление инфицированной системой в том случае, если вирус запущен пользователем с правами системного администратора root.

Вирус заражает все бинарные Linux файлы в текущем каталоге и в каталоге "/bin". Он также сканирует данные для первой сетевой карты 'eth0' также как это делает программа соединения по протоколу PPP при первом соединении. Таким образом, в тот момент, когда приходит специальный пакет, вирус открывает для атакующего управление локальной системой. Для этого запускается оболочка командного процессора с правами администратора.

Червь также пытается создать два новых устройства в каталоге "/dev". Имена устройств: "/dev/hdx1" и "/dev/hdx2". Он пытается получить доступ к web странице сервера "ns1.xoasis.com".

Технические детали:

При заражении файлов вирус записывается в их середину. Для этого он увеличивает размер секции данных и перенастраивает адреса других секций. Затем он переустанавливает адрес точки входа на свой код. Вирус использует антиотладочные приемы. Если текущий процесс трассируется, то вирус завершает работу программы. Если трассировка не обнаружена, то вирус пытается заразить все файлы в текущем каталоге. После этого он пытается заразить все файлы в каталоге "/bin", который доступен для записи только для пользователя с максимальными привилегиями. Вирус не пытается использовать брешь в системе безопасности операционной системы для того, чтобы получить доступ к защищенным файлам.

Backdoor компонента вируса пытается создать два новых устройства с именами: "/dev/hdx1" и "/dev/hdx2". Если устройства созданы, то она проверяет существование двух стандартных сетевых интерфейсов 'eth0' или 'ppp0', и пытается перевести их в состояние "promiscuous". Backdoor компонента пытается также создать новый сокет EGP (Exterior Gateway Protocols) и перевести его в режим прослушивания сети.

Как только специальный EGP IP пакет приходит, вирус проверяет байт по смещению 23 внутри его данных. Если байт равен 0x11, то вирус проверяет еще 3 байта пароля по смещению 0x2A в буфере. Если оба условия выполнились, вирус проверяет управляющий байт. Управляющий байт может быть равен 1 или 2. Если значение байта 1 то вирус запускает командный процессор (файл "/bin/sh") что позволит атакующему получить удаленный доступ к системе.

Вирус содержит две текстовые строки, которые не используются в коде.

Строки текста: "snortdos" и "tory".

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену