• Jueves 28 de Marzo de 2024, 18:57

Autor Tema:  Virus Para Linux  (Leído 1068 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Virus Para Linux
« en: Martes 29 de Marzo de 2005, 18:29 »
0
Peligrosidad: 2 - Baja     
Difusión: Baja   
Fecha de Alta:28-03-2005
Última Actualización:28-03-2005
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Bajo
Nombre completo: Backdoor.LINUX/Dextenea    
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [LINUX] - Linux
Alias:Backdoor.Dextenea (Symantec)

Cuando Backdoor.LINUX/Dextenea es ejecutado, realiza las siguientes acciones:

    * Crea los siguientes ficheros:
          o /usr/secure (2.712 bytes)
          o /usr/doc/sys/qrt (96.778 bytes)
          o /usr/doc/sys/run (6.086 bytes)
          o /usr/doc/sys/crond (9.259 bytes)
          o /usr/sbin/kfd (8.776 bytes)

    * Reemplaza los siguientes ficheros legítimos con copias del gusano para ocultar su presencia:
          o /bin/ps or /usr/bin/ps (16.419 bytes)
          o /bin/netstat or /usr/bin/netstat (tamaño variable)

    * crea los siguientes directorios:
          o /lib/security/.config/ssh
          o /usr/doc/kern
          o /usr/doc/backup
          o /usr/doc/backup/txt
          o /lib/backup
          o /lib/backup/txt
          o /usr/doc/work
          o /usr/doc/sys

    * Intenta copiar un fichero de nombre S80rpcmap que contiene un script, dentro de los siguientes directorios, de modo que el troyano se ejecute cada vez que Linux es iniciado:
          o /etc/rc.d/rc2.d
          o /etc/rc.d/rc3.d
          o /etc/rc.d/rc4.d
          o /etc/rc.d/rc5.d

    * Instala un telnete y una modificación del demonio SSH como puertas traseras.
      El atacante podrá entonces conectarse al equipo infectado utilizando una contraseña y un puerto de su elección.

    * Crea un usuario de nombre r00t, de modo que el atacante puede conectarse al equipo afectado a través de SSH.

    * Intenta instalar algunos de los siguientes elementos (escaneadores de redes, herramientas de 'haqueo', etc), que permiten al intruso utilizar el sistema infectado para atacar a otras máquinas:
          o kfence
          o adore
          o psybnc
          o flood
          o mole
          o selena

    * Envía a determinada dirección un mensaje que contiene información sobre el equipo afectado.
El pasado son solo recuerdos, el futuro son solo sueños