« en: Martes 29 de Marzo de 2005, 18:29 »
0
Peligrosidad: 2 - Baja
Difusión: Baja
Fecha de Alta:28-03-2005
Última Actualización:28-03-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Bajo
Nombre completo: Backdoor.LINUX/Dextenea
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [LINUX] - Linux
Alias:Backdoor.Dextenea (Symantec)
Cuando Backdoor.LINUX/Dextenea es ejecutado, realiza las siguientes acciones:
* Crea los siguientes ficheros:
o /usr/secure (2.712 bytes)
o /usr/doc/sys/qrt (96.778 bytes)
o /usr/doc/sys/run (6.086 bytes)
o /usr/doc/sys/crond (9.259 bytes)
o /usr/sbin/kfd (8.776 bytes)
* Reemplaza los siguientes ficheros legítimos con copias del gusano para ocultar su presencia:
o /bin/ps or /usr/bin/ps (16.419 bytes)
o /bin/netstat or /usr/bin/netstat (tamaño variable)
* crea los siguientes directorios:
o /lib/security/.config/ssh
o /usr/doc/kern
o /usr/doc/backup
o /usr/doc/backup/txt
o /lib/backup
o /lib/backup/txt
o /usr/doc/work
o /usr/doc/sys
* Intenta copiar un fichero de nombre S80rpcmap que contiene un script, dentro de los siguientes directorios, de modo que el troyano se ejecute cada vez que Linux es iniciado:
o /etc/rc.d/rc2.d
o /etc/rc.d/rc3.d
o /etc/rc.d/rc4.d
o /etc/rc.d/rc5.d
* Instala un telnete y una modificación del demonio SSH como puertas traseras.
El atacante podrá entonces conectarse al equipo infectado utilizando una contraseña y un puerto de su elección.
* Crea un usuario de nombre r00t, de modo que el atacante puede conectarse al equipo afectado a través de SSH.
* Intenta instalar algunos de los siguientes elementos (escaneadores de redes, herramientas de 'haqueo', etc), que permiten al intruso utilizar el sistema infectado para atacar a otras máquinas:
o kfence
o adore
o psybnc
o flood
o mole
o selena
* Envía a determinada dirección un mensaje que contiene información sobre el equipo afectado.
El pasado son solo recuerdos, el futuro son solo sueños
