DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.Linux.Osf

Erkennungsdatum 01/17/2007
Kategorie Virus
Plattform Linux
Beschreibung

Linux.OSF.8759 ist ein Virus mit erweiterten Backdoor-Funktionen, der auf Linux-Systemen repliziert und ausführbare ELF-Dateien infiziert.

Bei den infizierten Dateien ist die Dateigröße um 8759 Byte erhöht. 3979 Bytes gehören zum eigentlichen Virencode, während die anderen 4662 zum Code einer vom Virus am Ende der Datei angehängten Hintertür gehören.

Obwohl der Backdoor-Code zusammen mit dem Virus kopiert wird, scheint er so konzipiert zu sein, dass er leicht durch aktualisierte Versionen ersetzt werden kann – die Hintertür ist nicht mit der ELF-Struktur verknüpft, sondern wird stattdessen vom Virus selbst geladen und ausgeführt. Daher können in Zukunft verbesserte Versionen dieses Virus, insbesondere des Backdoor-Codes, erwartet werden.

Der Virus infiziert alle Dateien im aktuellen Verzeichnis, vermeidet jedoch die Infektion von Dateien mit Dateinamen, die mit "ps" enden.

Zur Verdeutlichung: Dateien mit Namen wie "steps" oder sogar das beliebte Unix Utility Tool "PS" werden von der Infektion verschont bleiben – da die letzten zwei Buchstaben ihrer Dateinamen "P" und "S" in Folge sind – "ps" .

Wenn der Virus von einem Root-Account ausgeführt wird, versucht er auch, die Dateien aus dem Systemverzeichnis "/ bin" zu infizieren. In allen Fällen sind nicht mehr als 201 Dateien in einem Lauf infiziert.

Die in dieser Version des Virus gefundene Hintertür überwacht den UDP-Port 3049, oder wenn der entsprechende Port nicht verfügbar ist, wird versucht, die Portnummer zu erhöhen, bis eine verwendbare gefunden wird. Verschiedene interne Befehle sind verfügbar, um Dateien auf dem Zielsystem direkt auszuführen oder einen Sniffer zu starten und den Datenverkehr an den anderen Rechner weiterzuleiten. Die Hintertür wird auch versuchen, die Liste der Firewall-Regeln zu bearbeiten und alle Einträge zu löschen, die verhindern könnten, dass sie auf dem hooked Port kommunizieren, oder auf dem Port, der im Falle des Sniffers mit der entfernten Maschine kommuniziert.

Außerdem versucht der Virus, die Verfolgung durch verschiedene Debugging-Dienstprogramme zu verhindern, indem er eine Kopie von sich selbst erstellt und versucht, sich selbst von der erzeugten Kopie zu debuggen. Wenn bereits ein Debugger ausgeführt wird, schlagen diese Schritte fehl und der Virus wird die Ausführung sofort beenden.

Ein weiteres Detail ist, wenn die Systembetriebszeit 5 Minuten oder weniger beträgt, wird der Virus auch die Ausführung beenden, wahrscheinlich um eine einfache Überprüfung auf "Test" -Maschinen zu verhindern.


Link zum Original