Virus.Linux.Osf

Дата обнаружения 17/01/2007
Класс Virus
Платформа Linux
Описание

Этот вирус состоит из двух компонент: компонента для заражения файлов и компонента удаленного администрирования Backdoor. Он размножается в операционной системе Linux и записывается в конец исполняемых файлов ELF.

После заражения размер файлов увеличивается на 8759 байт. 3979 байт включают в себя код вируса и еще 4662 байта содержат компоненту backdoor. Вирус переносит backdoor компоненту при заражении файлов.

Хотя backdoor компонента и копируется вместе с кодом вируса, она является самостоятельной и может обновляться. Backdoor компонента не встраивается внутрь ELF файла, а загружается и выполняется вирусом самостоятельно.

Вирус заражает все файлы в текущем каталоге, кроме тех имена которых заканчиваются символами «ps», например «steps», «ps». Вирус также не заражает файлы в каталогах «/dev» и «/proc». Если он запущен пользователем с правами системного администратора, то он заражает все файлы из каталога «/bin». При каждом запуске заражается не более 201 файла.

Backdoor компонента проверяет и слушает UDP порт 3049. Если же такой порт не найден, то используется другой номер. Компонента сканирует все доступные порты с большим значением и слушает первый найденный. При первом запуске вирус отдает управление Backdoor компоненте, которая раздваивает процесс-родитель и таким образом остается резидентно в памяти. Если вирус будет запущен в следующий раз системным администраторм, то он установит новый процесс с backdoor компонентой, а старый выгрузит.

Backdoor компонента отвечает на некоторые внешние команды:

  • запуск файлов на управляемом компьютере;
  • запуск прослушивания проходящего трафика и перенаправление его на другой компьютер;
  • редактирование настроек локального firewall.

Вирус также пытается противодействовать трассировке своего кода при помощи утилиты отладки. Если процесс с вирусом запускается из-под отладчика, то вирус немедленно прекращает свое выполнение.

Он также проверяет время от начала перезагрузки компьютера. Если прошло менее 5 минут, вирус прекращает свое выполнение. Возможно эта проверка была добавлена для противодействия запуска вируса на тестовом компьютере.