В программе fragrouter обнаружен троянец

22.10.2002 | 15:27
Fragrouter - программа, предназначенная для обхода систем обнаружения вторжений (IDS), которая позволяет скрыть атаку, разбивая ее на фрагменты IP. Как сообщается, 18 и 19 октября на сайте разработчика лежала версия 1.7, зараженная троянцем.

Зараженная версия была убрана 19 октября после того, как автору проекта (Matt) о заражении сообщил Hank Leininger. Как утверждает сам автор, версии 1.7 не существует в природе, последняя версия fragrouter 1.6, работы над которой не ведутся уже 3 года. Анализ кода показал, что код трояна аналогичен коду троянцев, внедренных ранее в irssi, fragroute, BitchX, OpenSSH и Sendmail. В конфигурационный скрипт была внедрена С-программа, которая после запуска скрипта открывала на сайте шелл на порту 6667.

Интересна технология определения адреса, на котором открывался шелл. Для этого создавался файл http://www.anzen.com/images/anzen-title_r3_f2_c4.jpg, содержащий строку вида IPDATAN (N-IP-адрес жертвы). На момент анализа кода эта строка содержала данные `IPDATA210.224.164.100`, что позволяет судить о том, что шелл на порту 6667 был открыт по адресу 210.224.164.100 (хозяин оповещён, порт закрыт).
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.uinc.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код