В пакетах libpcap и tcpdump обнаружен троянец

13.11.2002 | 15:27
Участники Houston Linux Users Group (HLUG) обнаружили, что последние версии исходных кодов libpcap и tcpdump, доступные на сервере tcpdump.org, были заражены троянским кодом.

HLUG уведомила об этом факте администраторов сервера tcpdump.org. Троянский код похож на код, которым в свое время была заражена программа OpenSSH.

Троянец содержит модификации конфигурационного скрипта и файла gencode.c (только в libpcap). Скрипт скачивает файл со встроенным шелл-скриптом, запускает его, в результате чего создается и компилируется программа на языке С. Далее устанавливается связь с сервером 212.146.0.34 по порту 1963 и считывается один из трех байтов статуса, в зависимости от которого затем производится необходимое действие. Gencode.c модифицируется таким образом, чтобы заставить libpcap игнорировать пакеты к/от backdoor-программы, скрывая ее трафик.

Нормальные исходные коды имеют следующие MD5-хэши:

MD5 Sum 0597c23e3496a5c108097b2a0f1bd0c7 libpcap-0.7.1.tar.gz
MD5 Sum 6bc8da35f9eed4e675bfdf04ce312248 tcpdump-3.6.2.tar.gz
MD5 Sum 03e5eac68c65b7e6ce8da03b0b0b225e tcpdump-3.7.1.tar.gz

Исходные коды, содержащие троянца, имеют следующие MD5-хэши:

MD5 Sum 73ba7af963aff7c9e23fa1308a793dca libpcap-0.7.1.tar.gz
MD5 Sum 3a1c2dd3471486f9c7df87029bf2f1e9 tcpdump-3.6.2.tar.gz
MD5 Sum 3c410d8434e63fb3931fe77328e4dd88 tcpdump-3.7.1.tar.gz

Подробности доступны по адресу: http://www.net-security.org/news.php?id=1436.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.net-security.org
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код