Arvestades paljude linux´i-kasutajate reaktsiooni
meie eelmise artikli kohta, oleks loogiline mainitud näidet põhjalikumalt uurida, seda enam, et hiljuti saabus Kaspersky Lab´i Trojan-Dropper.Linux.Prl uus modifikatsioon.
Trojan-Dropper.Linux.Prl.b
Faili nimetus: ob.pl. Faili tüüp: ELF. Avastas kasutaja oma serveris pärast eelmise artikli avaldamist. Tööpõhimõte on sama - "/usr/bin/perl" protsessi loomine ja sellele pipe´i kaudu Perl-skripti edastamine.
Skripti ennast säilitatakse troojalase kehas šifreeritult. Dešifreeringu algoritm näeb seejuures välja selline:
Perl-skripti dešifreeringu algoritm
Dešifreeritud Perl-skripti põhiülesanne on rämpsposti laialisaatmine.
Kirjade saatmise eest vastutav Perl-skripti osa:
if ($session->{$handle}{status} eq "mx_rd")
{
$session->{$handle}{buffer} = "HELO $buffers->{helo}x0Dx0A";
$session->{$handle}{status} = "mx_gr";
}
elsif ($session->{$handle}{status} eq "mx_gr")
{
my ($mail) = &mail($session->{$handle}{sender});
$session->{$handle}{buffer} = "MAIL FROM: <$$mail>x0Dx0A";
$session->{$handle}{status} = "mx_mf";
}
elsif ($session->{$handle}{status} eq "mx_mf")
{
my ($mail) = &mail($session->{$handle}{object});
$session->{$handle}{buffer} = "RCPT TO: <$$mail>x0Dx0A";
$session->{$handle}{status} = "mx_rt";
}
elsif ($session->{$handle}{status} eq "mx_rt")
{
$session->{$handle}{buffer} = "DATAx0Dx0A";
$session->{$handle}{status} = "mx_dt";
}
elsif ($session->{$handle}{status} eq "mx_dt")
{
$session->{$handle}{buffer} = &data($session->{$handle}{object}, $session->{$handle}{sender});
$session->{$handle}{buffer} .= "x0Dx0A.x0Dx0A";
$session->{$handle}{status} = "mx_dr";
}
elsif ($session->{$handle}{status} eq "mx_dr")
{
$buffers->{good}[0] ++;
$buffers->{good}[1] .= "$session->{$handle}{object}x0A" if $buffers->{level};
$session->{$handle}{object} = "";
$session->{$handle}{buffer} = "QUITx0Dx0A";
$session->{$handle}{status} = "mx_qt";
Saadetavate kirjade näide
Bot´is on seejuures märgitud tema töö jaoks vajalike halduspaneelidega IP-aadressid: 195.144.21.122, 195.144.21.124 ja 194.54.83.114.
Kust nad pärit on?
Lugenud läbi mitu selleteemalist foorumiteemat ja võtnud ühendust mitme nakatatud serveri halduriga, õnnestus teada saada, et need spambot´id ilmusid serveritesse kolmel viisil:
- FTP-serveri parooli vargusel kahjurprogrammide abil
- FTP- ja SSH-serverite parooli valikul sõnastiku abil
- Sissetungimisel phpbb kaudu
Spambot´i laadimisega muutusid alati HTML-failid, millele lisati nakatatud veebilehtede iframe´id.
Avastamine, eemaldamine, korduvnakatumise vältimine
Üldjuhul on spambot´i tööd lihtne avastada käsuga ps -aux. Seejuures võib esile tõsta sellele bot´ile iseloomulikku kolme nakatumistunnust, mis sõltuvad sellest, kuidas pahategijad on bot´i süsteemi paigaldanud:
- Perl-interpreteerija käivitati –w parameetrite ja teega mainitud spambot´i sisaldava faili juurde (iseloomulik phpbb kaudu sissetungimisele)
- Perl -w parameetri ja teega serveris puuduva faili juurde (iseloomulik troojaprogrammide abil FTP-serveri parooli vargusele)
- Dropper´i abil parameetriteta käivitatud Perl (iseloomulik parooli valimisel)
Kõigest ülalöeldust võib teha lihtsad järeldused selle spambot´iga masinate nakatumise vältimiseks:
- Kasutada keerulisi paroole
- Kasutada serverisse paigaldatud toodete viimaseid versioone
- Jälgida kõikide veebilehtedele juurdepääsuks kasutatavate arvutite turvalisust
Kaspersky uudised
