Linux.Backdoor.Kaiten

CH azonosító

CH-11470

Angol cím

Linux.Backdoor.Kaiten

Felfedezés dátuma

2014.07.29.

Súlyosság

Alacsony

Érintett rendszerek

Linux

Érintett verziók

Linux

Összefoglaló

Linux.Backdoor.Kaiten egy trójai program, amely hátsó kaput nyit a fertőzött számítógépen.

Leírás

Az első futtatáskor hátsó kaput nyit a fertőzött számítógépen, majd egy IRC kliest használva kapcsolódik a következő szerverekhez a 6667 TCP porton keresztül:

  • 66.119.66.107
  • irc.terra.com
  • independence.remoteserver.org
  • freedom.ns01.biz
  • networking.dyndns.org
  • liberty.no-ip.biz
  • xp.yi.org

A program csatlakozik a IRC csatornákhoz és várja az utasításokat.

Ezek a parancsok lehetővé teszik egy támadó számára hogy a következőket hajtsa végre:

  • Elosztott szolgáltatás megtagadásos támadásban vegyen részt SYN vagy UDP segítségével.
  • Letöltsön és futasson távoli állományokat.
  • Megváltoztassa a kliens becenevét
  • Megváltoztatja a kiszolgálókat
  • UDP csomagokat küld
  • IP címeket hamisít
  • Leálítson folyamatokat
  • Engedélyezze vagy tiltsa a packeting-et 
  • Végezze el a “flooding” metódusokat.
  • Befejezze a kliens alkalmazást.

A trójai megváltoztatja a következő rendszerfájlokat:

  • /etc/rc.d/rc.local
  • /etc/rc.conf