[LUG.ro] troyano 55808

Luis Diaz lugro@lugro.org.ar
Mon, 23 Jun 2003 12:39:15 -0300


Hola gente hojeando barrapunto encontre una noticia sobre un troyano busque un poco mas de info y aca se las paso, la traduje yo asique...

En fin...
El troyano en si se llama 55808 por el tamaño de la ventana TCP que usa, fue analizado porque al parecer esta generando un poco de trafico en internet, todavia no se esta seguro de este es el codigo original del troyano, lo definen como un "copycat", el troyano en si q analizan es un escaner de puertos distribuido bastante dificl de detectar que escanea IP aleatorias con una ip de origen espoofeada,  
cada vez que encuentra un puerto abierto lo guarda en un archivo, diariamente lo manda a una IP predefinida, adicionalmente un paquete (¿crafted?) puede ser enviado a la subnet en la q el trojano escucha para especificar a que Ip tiene q entregar la lista....aunque esta funcion parece deshabilitada, adicionalmente si no puede conectarse para entregar la lista tratara de removerse a si mismo del sistema.

El trojano que estos tipos identificaron fue un archivo llamado "a" en /tmp/.../ la lista de puertos la guarda en el mismo directorio con el nombre "r".

La ip por defecto a la que trata de mandar la lista es: "12.108.65.76" en el puerto 22 sin espoofear la ip
aunque esa ip no responde asique parece ser seleccinada aleatoriamente.

... en fin si alquien lo quiere ojear mejor la direccion es:
http://www.intrusec.com/55808.html

espero que les haya sido util....

nos vemos!






-- 
Hay dos cosas infinitas: el Universo y la estupidez humana.
A core dump is your computer's way of saying "Here's what's on my mind,
what's on yours?"
There are two major products that come out of Berkeley: LSD and UNIX. We
don't believe this to be a coincidence.