Ситуации, когда на публичных
серверах выкладывались версии зараженных бинарных или исходных файлов возникали уже не раз. Теперь подобная участь постигла mozilla.org.
Зараженными оказались дистрибутивы Mozilla и Thunderbird для Linux c корейской локализацией. Файлы mozilla-installer-bin из mozilla-1.7.6.ko-KR.linux-i686.installer.tar.gz и mozilla-xremote-client из thunderbird-1.0.2.tar.gz были инфицированы вирусом RST.b.
Virus.Linux.RST.b ищет исполняемые ELF-файлы в текущем каталоге и каталоге /bin и заражает их. При заражении записывается в середину файла (в конец секции кода, сдвигая вниз все остальные секции файла). Также содержит бэкдор-процедуру, которая скачивает специальный скрипт-файл с сайта
http://ns1.xoasis.com/~telcom69 и выполняет присутствующие в скрипте команды. Для выполнения этих команд используется стандартный shell.
После троекратного уведомления mozilla.org файлы так и не были удалены, сообщает Лаборатория Касперского.
Virus.Linux.RST.aLinux вирус, который также открывает удаленный доступ к локальному компьютеру. Он позволяет атакующему получить управление инфицированной системой в том случае, если вирус запущен пользователем с правами системного администратора
root.
Вирус заражает все бинарные Linux файлы в текущем каталоге и в каталоге "/bin". Он также сканирует данные для первой сетевой карты 'eth0' также как это
делает программа соединения по протоколу PPP при первом соединении. Таким образом, в тот момент, когда приходит специальный пакет, вирус открывает для атакующего управление локальной системой. Для этого запускается оболочка командного процессора с правами администратора.
Червь также пытается создать два новых устройства в каталоге "/dev". Имена устройств: "/dev/
hdx1" и "/dev/
hdx2". Он пытается получить доступ к
web странице
сервера "ns1.xoasis.com".
Технические детали:При заражении файлов вирус записывается в их середину. Для этого он увеличивает размер секции данных и перенастраивает адреса других секций. Затем он переустанавливает адрес точки входа на свой код. Вирус использует антиотладочные приемы. Если текущий процесс трассируется, то вирус завершает работу программы. Если трассировка не обнаружена, то вирус пытается заразить все файлы в текущем каталоге. После этого он пытается заразить все файлы в каталоге "/bin", который доступен для записи только для пользователя с максимальными привилегиями. Вирус не пытается использовать брешь в системе безопасности операционной системы для того,
чтобы получить доступ к защищенным файлам.
Backdoor компонента вируса пытается создать два новых устройства с именами: "/dev/
hdx1" и "/dev/
hdx2". Если устройства созданы, то она проверяет существование двух стандартных сетевых интерфейсов 'eth0' или 'ppp0', и пытается перевести их в состояние "promiscuous". Backdoor компонента пытается также создать новый сокет EGP (Exterior Gateway Protocols) и перевести его в режим прослушивания сети.
Как только специальный EGP IP пакет приходит, вирус проверяет байт по смещению 23 внутри его данных. Если байт равен 0x11, то вирус проверяет еще 3 байта пароля по смещению 0x2A в буфере. Если оба условия выполнились, вирус проверяет управляющий байт. Управляющий байт может быть равен 1 или 2. Если значение байта 1 то вирус запускает командный процессор (файл "/bin/sh")
что позволит атакующему получить удаленный доступ к системе.
Вирус содержит две текстовые строки, которые не используются в коде.
Строки текста: "
snortdos" и "
tory".
http://www.securitylab.ru