Linux.Aidra

CH azonosító

CH-10214

Angol cím

Linux.Aidra

Felfedezés dátuma

2013.12.19.

Súlyosság

Alacsony

Érintett rendszerek

Linux

Érintett verziók

Linux

Összefoglaló

A Linux.Aidra egy olyan káros szoftver, amely hátsókaput nyithat a fertőzött számítógépen, DoS támadásokban vehet részt, és IRC-n keresztül terjed.

Leírás

Amikor a káros szoftver végrehajtódik, a folyamat azonosítóját a /var/run/.lightpid fájlba menti.
Megpróbál csatlakozni a 94.23.254.90-as IP címen lévő IRC szerverhez a 6667-es porton.
A káros szoftver a támadó utasításaira vár.

Az Aidra a következő címek 23-as portjára is megkísérelheti a csatlakozást:

  • támadó által definiált IP címek
  • a fertőzött számítógép címe alapján egy címtartomány (ha az a.b.c.d a fertőzött IP, a káros szoftver az a.b.0.0 – a.b.255.255 címeket próbálja)
  • véletlenül generált IP címek:(x.y.0.0 – x.y.255.255, ahol x és y véletlenül generáltak)

(A káros szoftver a támadó által megadott azonosítót és jelszót használja)

Az Aidra megpróbál egy shell script-et letölteni a [http://]buonapesca.altervista.org-ról. A shell script további káros kódot tölthet le és futtathat.

Az Aidra továbbá parancsot kaphat az IRC szervertől, hogy szolgáltatás megtagadásos (DoS) támadásokat hajtson végre.

Megoldás

Frissítse a víruskereső adatbázisát