Virus.Linux.Osf

Linux.OSF.8759は、バックドア機能の強化されたウイルスで、Linuxシステム上で複製し、ELF実行可能ファイルに感染します。

ウイルスに感染したファイルのファイルサイズは8759バイト増加します。 3979バイトは実際のウイルスコードに属し、他の4662バイトはファイルの最後にウイルスによって添付されたバックドアのコードに属します。

バックドアコードはウイルスとともにコピーされますが、更新されたバージョンに簡単に置き換えることができるように設計されているようです – バックドアはELF構造にリンクされていませんが、ウイルス自体によってロードされ実行されます。したがって、このウイルスの改良されたバージョン、特にバックドアコードの将来のバージョンが期待できます。

このウイルスは、現在のディレクトリ内のすべてのファイルに感染しますが、ファイル名が "ps"で終わるファイルは感染しません。

明確にするには： "steps"やUnixユーティリティツール "PS"などの名前を持つファイルは、感染の恐れがありません。ファイル名の最後の2文字は "P"と "S" 。

ルートアカウントから実行すると、ウイルスは "/ bin"システムディレクトリからファイルを感染させようとします。いずれの場合も、1回の実行で201件以上のファイルが感染することはありません。

このバージョンのウイルスで見つかったバックドアは、UDPポート3049で待機しています。または、それぞれのポートが利用できない場合、使用可能なポート番号が見つかるまでポート番号を増やそうとします。さまざまな内部コマンドを使用して、ターゲットシステム上でファイルを直接実行したり、スニッファを起動したりして、トラフィックを他のマシンに転送することができます。また、バックドアはファイアウォールルールリストを編集し、フックされたポート、またはスニファの場合にリモートマシンと通信するために使用されたポートで通信できないようなエントリをすべて消去しようとします。

上記に加えて、このウイルスは、自身のコピーを生成し、生成されたコピーから自身をデバッグすることによって、さまざまなデバッグユーティリティによるトレースを防止しようとします。デバッガが既に実行されている場合、これらの手順は失敗し、ウイルスはただちに実行を終了します。

もう1つの詳細は、システムの稼働時間が5分以下であれば、ウイルスは「テスト」マシンでの単純な検査を防ぐために実行を終了することもあります。