Összefoglaló
A Linux.Backdoor.Kaiten egy trójai program, amely hátsó kaput nyit a fertőzött számítógépen.
Leírás
Az első futtatáskor hátsó kaput nyit a fertőzött számítógépen, majd egy IRC kliest használva kapcsolódik a következő szerverekhez a 6667 TCP porton keresztül:
- 66.119.66.107
- irc.terra.com
- independence.remoteserver.org
- freedom.ns01.biz
- networking.dyndns.org
- liberty.no-ip.biz
- xp.yi.org
A program csatlakozik a IRC csatornákhoz és várja az utasításokat.
Ezek a parancsok lehetővé teszik egy támadó számára hogy a következőket hajtsa végre:
- Elosztott szolgáltatás megtagadásos támadásban vegyen részt SYN vagy UDP segítségével.
- Letöltsön és futasson távoli állományokat.
- Megváltoztassa a kliens becenevét
- Megváltoztatja a kiszolgálókat
- UDP csomagokat küld
- IP címeket hamisít
- Leálítson folyamatokat
- Engedélyezze vagy tiltsa a packeting-et
- Végezze el a “flooding” metódusokat.
- Befejezze a kliens alkalmazást.
A trójai megváltoztatja a következő rendszerfájlokat:
- /etc/rc.d/rc.local
- /etc/rc.conf
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.symantec.com