Backdoor.Bofishy.B – Linux, Unix rendszerek veszélyben

A trójai program tulajdonságai

Felfedezésének ideje: 2002. október 20.
Utolsó frissítés ideje: 2002. október 21.
Veszélyeztetett rendszerek: Unix, Linux
Nem érintett rendszerek: Windows 3.x/9x/Me/NT/2k/XP, Microsoft IIS, Macintosh
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: könnyű
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– a Sendmail telepítése közben lefut a t-shm.c file-is, amely létrehoz és futtat egy test nevű shell scriptet
– felmásol a rendszerbe egy C programot (conftest.c), amelyet lefordít, majd futtat
– a conftest.c megkísérel kapcsolódni a 66.37.138.99-es IP-címhez a 6667-es TCP porton keresztül, majd parancsokat fogad(hat) egy támadótól
– ezek után a script a Sendmailből eltávolítja a t-shm.c-t, ennek ellenére a t-shm bináris változata továbbra is tartalmazza a trójait

A trójai felismerése

Annak meghatározása érdekében, hogy a trójai érintette a rendszert, tanácsos a libsm/directory alatt található t-shm.c file-t megnézni. Amennyiben ez tartalmazza a ˝sm_base64_data˝ stringet, akkor biztosak lehetünk a trójai jelenlétében. Pontosabban ha a file utolsó két sora a következő:
unsigned char sm_base64_data[] = {
};
akkor ez azt jelzi, hogy a trójai sikeresen lefutott a rendszeren. Ez esetben érdemes egy korábbi, tiszta Sendmail verziót letölteni és alkalmazni.