Après lecture, il semblerait que ça soit simplement des exécutables au format ELF (format standard sous Linux pour ceux qui ne connaissent pas) qui seraient la cible. Il serait diséminé dans la nature par mail avec exécutable attaché. Qualys ne parle pas de réplication autonome d'une machine à une autre (ça ne serait alors pas un ver, mais rien n'empèche un ver de répliquer des binaires infectés).
L'exécutable reste totalement fonctionnel, mais il y a un blok de 4K en plus pour caser les 2,8K de code du virus. Il essaye de se répliquer dans le répertoire courant et dans /bin. Il ne semble pas qu'il cherche à obtenir des permissions supplémentaires (il n'a que les droit de l'utilisateur qui a lancé l'exécutable infecté). Il n'essaye pas non plus à se cacher puisque la taille et la date de modification du fichier sont modifiées.
Une fois infectée, la machine envoi une requête HTTP GET sur le port 80 d'un serveur en Grande Bretagne (orinoco.portland.co.uk). Le port 5503 est également ouvert pour obtenir un shell sur la machine infectée.
La société Qualys pense que ce cheval de Troie/virus sera utilisé afin de lancer des DDoS.
[^] # Re: bof ...
Posté par François B. . En réponse à la dépêche Apres le code rouge...le code bleu. Évalué à 3.
Après lecture, il semblerait que ça soit simplement des exécutables au format ELF (format standard sous Linux pour ceux qui ne connaissent pas) qui seraient la cible. Il serait diséminé dans la nature par mail avec exécutable attaché. Qualys ne parle pas de réplication autonome d'une machine à une autre (ça ne serait alors pas un ver, mais rien n'empèche un ver de répliquer des binaires infectés).
L'exécutable reste totalement fonctionnel, mais il y a un blok de 4K en plus pour caser les 2,8K de code du virus. Il essaye de se répliquer dans le répertoire courant et dans /bin. Il ne semble pas qu'il cherche à obtenir des permissions supplémentaires (il n'a que les droit de l'utilisateur qui a lancé l'exécutable infecté). Il n'essaye pas non plus à se cacher puisque la taille et la date de modification du fichier sont modifiées.
Une fois infectée, la machine envoi une requête HTTP GET sur le port 80 d'un serveur en Grande Bretagne (orinoco.portland.co.uk). Le port 5503 est également ouvert pour obtenir un shell sur la machine infectée.
La société Qualys pense que ce cheval de Troie/virus sera utilisé afin de lancer des DDoS.