[Ubuntu-QC] Newbots? Ordinateur envahi!

David Montminy david.montminy at gmail.com
Jeu 3 Déc 23:10:30 GMT 2009


Gilbert Dion wrote:
> 
>     Il y a aussi des services comme VirusTotal qui sont très pratique pour
> 
>     identifier les fichiers:
> 
>     http://www.virustotal.com/
> 
>  
> 
> David,
> Je dois préciser: sauf le programme bash, ce sont tous des fichiers 
> texte (des scripts, des logs, des documents texte brut...), donc, pas de 
> virus comme tels, juste un bot qui scanne des adresses, IP je crois.
> Gilbert
> 

Ca ne change pas le fait que ces fichiers sont exécutables. VirusTotal 
passe ces fichiers à travers 20 Anti-virus connu et donne les 
résultats... possitif et négatif.

En passant un peu de recherche à partir des noms de fichiers me donne:
http://www.webhostingtalk.com/showthread.php?p=5323420
http://www.linode.com/forums/viewtopic.php?p=23253
http://www.linuxquestions.org/questions/linux-security-4/i-got-rootkitted-recommendations-for-recovery-729212/

Tout me porte à croire qu'il s'agit d'un "kit" écrit en bash qui se 
connecte à un serveur IRC et qui attend des ordres.

Quand au vecteur d'infection: difficile à savoir. Le 'owner' des 
fichiers est une bonne indication. Sur les forum que j'ai trouver, une 
personne a mentionner que les fichiers appartenait à postgres, un autre 
qui a eu des fichiers semblables avait comme 'owner' apache et le 3e a 
été 'scanner' sur le port ssh. (visible dans /var/log/auth.log )

Je vais continuer à fouiller, mais je peux confirmer qu'il s'agit bel et 
bien d'un vers(worm) créer à partir d'un kit.

David Montminy



Plus d'informations sur la liste de diffusion Ubuntu-quebec