Összefoglaló
A Linux.Aidra egy olyan káros szoftver, amely hátsókaput nyithat a fertőzött számítógépen, DoS támadásokban vehet részt, és IRC-n keresztül terjed.
Leírás
Amikor a káros szoftver végrehajtódik, a folyamat azonosítóját a /var/run/.lightpid fájlba menti.
Megpróbál csatlakozni a 94.23.254.90-as IP címen lévő IRC szerverhez a 6667-es porton.
A káros szoftver a támadó utasításaira vár.
Az Aidra a következő címek 23-as portjára is megkísérelheti a csatlakozást:
- támadó által definiált IP címek
- a fertőzött számítógép címe alapján egy címtartomány (ha az a.b.c.d a fertőzött IP, a káros szoftver az a.b.0.0 – a.b.255.255 címeket próbálja)
- véletlenül generált IP címek:(x.y.0.0 – x.y.255.255, ahol x és y véletlenül generáltak)
(A káros szoftver a támadó által megadott azonosítót és jelszót használja)
Az Aidra megpróbál egy shell script-et letölteni a [http://]buonapesca.altervista.org-ról. A shell script további káros kódot tölthet le és futtathat.
Az Aidra továbbá parancsot kaphat az IRC szervertől, hogy szolgáltatás megtagadásos (DoS) támadásokat hajtson végre.
Megoldás
Frissítse a víruskereső adatbázisát
Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: www.emagined.com