ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.Linux.Osf

Data de detecção 01/17/2007
Classe Virus
Plataforma Linux
Descrição

O Linux.OSF.8759 é um vírus com recursos aprimorados de backdoor que se replica nos sistemas Linux e infecta os executáveis ​​ELF.

Os arquivos infectados pelo vírus têm seu tamanho de arquivo aumentado em 8759 bytes. 3979 bytes pertencem ao código de vírus real, enquanto os outros 4662 pertencem ao código de um backdoor anexado pelo vírus no final do arquivo.

Embora o código backdoor seja copiado junto com o vírus, parece que ele foi projetado de tal forma que pode ser facilmente substituído por versões atualizadas – o backdoor não está vinculado à estrutura ELF, mas é carregado e executado pelo próprio vírus. Portanto versões melhoradas deste vírus, especialmente do código backdoor, podem ser esperadas no futuro.

O vírus infecta todos os arquivos no diretório atual, mas evita infectar arquivos com nomes de arquivos que terminam com "ps".

Para esclarecer: Arquivos com nomes como "passos", ou até mesmo a popular ferramenta utilitária Unix "PS" serão poupados de infecção – como os dois últimos lettes de seus nomes de arquivo são "P" e "S" em seqüência – "ps" .

Se for executado a partir de uma conta root, o vírus também tentará infectar os arquivos do diretório de sistema "/ bin". Em todos os casos, não mais de 201 arquivos são infectados em uma execução.

O backdoor encontrado nesta versão do vírus está escutando na porta UDP 3049, ou se a respectiva porta não estiver disponível, ele tentará aumentar o número da porta até encontrar um que possa ser usado. Vários comandos internos estão disponíveis para executar diretamente os arquivos no sistema de destino ou para iniciar um sniffer e encaminhar o tráfego para a outra máquina. O backdoor também tentará editar a lista de regras do firewall e apagar todas as entradas que possam impedir a comunicação na porta conectada ou, na porta usada para se comunicar com a máquina remota, no caso do sniffer.

Além do acima, o vírus também tenta impedir o rastreamento por vários utilitários de depuração, gerando uma cópia de si mesmo e tentando se depurar a partir da cópia gerada. Se algum depurador já estiver em execução, essas etapas falharão e o vírus encerrará imediatamente a execução.

Outro detalhe é se o tempo de funcionamento do sistema é de 5 minutos ou menos, o vírus também irá terminar a execução, provavelmente, a fim de evitar a simples inspeção em máquinas de "teste".


Link para o original