Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

ELF/RST.B. Infector de binarios de Linux
 
VSantivirus No. 540 - Año 6 - Domingo 30 de diciembre de 2001

Nombre: ELF/RST.B
Tipo: Infector de binarios (Linux) 
Alias: RST.b, Remote Shell II 
Fecha: 23/dic/2001
Fuente: Virus Attack!

[Descripción proporcionada por Virus Attack!: http://www.virusattack.com.ar/]

Un virus capaz de infectar archivos binarios del sistema operativo Linux, que debido a distintas similitudes con él, se considera la segunda versión del virus Remote Shell (RST).

Este virus reemplaza las direcciones de inicio en los encabezados ELF con una dirección que apunta a su propio código para poder ejecutarse cuando un programa infectado es llamado.

Al ser ejecutado, lo primero que hace es utilizar la herramienta ptrace para averiguar si está siendo localizado. Si es así, termina su ejecución. Si continúa con su rutina, intenta infectar todos los archivos binarios ELF en el directorio donde se encuentra.

Libera un backdoor (puerta trasera) en el sistema infectado que se pone en escucha mediante el protocolo EGP, poco utilizado en este tipo de troyanos. Luego, intenta conectarse a una dirección web para obtener información, que podría ser una lista de equipos infectados, ú otro tipo de datos similares.

Utiliza dos archivos, /dev/hdx1 y /dev/hdx2, como banderas, a fin de ejecutarse una sola vez al mismo tiempo en el equipo afectado.

Además de la infección de archivos, y de la instalación del backdoor, no posee otras rutinas que puedan considerarse maliciosas, aunque la apertura del sistema afectado para que pueda ser accedido remotamente puede traer consecuencias dañinas al sistema.

(Esta descripción está basada en un mensaje enviado por Ryan Russell, de Security Focus, a la lista incidents de dicho sitio).

Para eliminarlo, utilice una versión actualizada de un antivirus para Linux (ver en nuestro sitio, los enlaces a Sophos, Dr. Web, F-Prot, KAV (AVP), etc.).


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2002 Video Soft BBS