[hackmeeting] ELF/RST.B. Infector de binarios de Linux
Hubble
Hubble en flashmail.com
Jue Ene 3 19:12:03 CET 2002
Hol en s,
Extraido de VSantivirus No. 540 - Año 6 - Domingo 30 de diciembre de
2001
Adioses,
Hubble, 8-)
> >2 - ELF/RST.B. Infector de binarios de Linux
> > _____________________________________________________________
> >
> > Nombre: ELF/RST.B
> > Tipo: Infector de binarios (Linux)
> > Alias: RST.b, Remote Shell II
> > Fecha: 23/dic/2001
> > Fuente: Virus Attack!
> >
> > [Descripción proporcionada por Virus Attack!:
> > http://www.virusattack.com.ar/]
> >
> > Un virus capaz de infectar archivos binarios del sistema
> > operativo Linux, que debido a distintas similitudes con él,
> > se considera la segunda versión del virus Remote Shell (RST).
> >
> > Este virus reemplaza las direcciones de inicio en los
> > encabezados ELF con una dirección que apunta a su propio
> > código para poder ejecutarse cuando un programa infectado es
> > llamado.
> >
> > Al ser ejecutado, lo primero que hace es utilizar la
> > herramienta ptrace para averiguar si está siendo localizado.
> > Si es así, termina su ejecución. Si continúa con su rutina,
> > intenta infectar todos los archivos binarios ELF en el
> > directorio donde se encuentra.
> >
> > Libera un backdoor (puerta trasera) en el sistema infectado
> > que se pone en escucha mediante el protocolo EGP, poco
> > utilizado en este tipo de troyanos. Luego, intenta conectarse
> > a una dirección web para obtener información, que podría ser
> > una lista de equipos infectados, ú otro tipo de datos
> > similares.
> >
> > Utiliza dos archivos, /dev/hdx1 y /dev/hdx2, como banderas, a
> > fin de ejecutarse una sola vez al mismo tiempo en el equipo
> > afectado.
> >
> > Además de la infección de archivos, y de la instalación del
> > backdoor, no posee otras rutinas que puedan considerarse
> > maliciosas, aunque la apertura del sistema afectado para que
> > pueda ser accedido remotamente puede traer consecuencias
> > dañinas al sistema.
> >
> > (Esta descripción está basada en un mensaje enviado por Ryan
> > Russell, de Security Focus, a la lista incidents de dicho
> > sitio).
> >
> > Para eliminarlo, utilice una versión actualizada de un
> > antivirus para Linux (ver en nuestro sitio, los enlaces a
> > Sophos, Dr. Web, F-Prot, KAV (AVP), etc.).
> >
> > (c) Video Soft - http://www.videosoft.net.uy
> > (c) VSAntivirus - http://www.vsantivirus.com
> > _____________________________________________________________
Más información sobre la lista de distribución HackMeeting