Virus

[Pavol Zibrita]

Ahoj

   Nedavno som odstranoval z rh7.1 virus. Neviem co to bol za virus a ani 
ci bol vedeni po nom aj rucny utok. Kazdopadne som nasiel toto:
 
   v /etc/sysconfig/.../.d/ 
   bol irc client eggdrop, ktory sa stale spustal
   nasiel som preloadnutu cron tabulku, ktora mala na starosti
zistovanie, ci eggdrop bezi.
   scripty, ktore eggdrop pouzival boli nejak kodovane.

   (vsetko mam v zalohe, aj napadnutu binarku, kto ma zaujem, mozem 
poslat)

   v /usr/bin/.../ 
  bol subor ze clean, ktory mal za ulohy vycistit logy a kto vie co 
vsetko.

   Virus po natiahnuti do pamate infikoval niektore binarky aj bez 
spustenia ako netstat,ps,ls, niektore az ked sa spustili. Neviem ci 
infikoval kniznice. mal priblizne 9kb.

   Nainfikovany subor po spusteni sa forkol a jedna cast zostala visiet na 
upd porte 3049.

   Utok, podla logov (neboli vycistene uplne) prisiel zjavne cez ftp 
(ktore som zial nemal patchnute..) z adresy 209.151.239.224, 
odkial sa virus asi 
mohol dostat, pripadne to mohla byt praca niekoho.

Nestretli ste sa s nim? Neviem ci to bol adore, lebo masinu mam relativne 
cistu, moze byt skryty este v nejakej binarke. povacsine som pouzival rpm 
--verify.

ine antiviraky nepisu nic, akurat f-prot napisal, ze moznost infikovania 
(heuristika).

P.Zibrita

PS: som novy v tomto liste. Utok sa stal briblizne 12-15 februara.