Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Unix/Sendmail-ADM. Versión troyanizada de "Sendmail"
 
VSantivirus No. 830 - Año 6 - Martes 15 de octubre de 2002

 Unix/Sendmail-ADM. Versión troyanizada de "Sendmail"
http://www.vsantivirus.com/unix-sendmail-adm.htm

Nombre: Unix/Sendmail-ADM
Tipo: Caballo de Troya de Unix del tipo Backdoor
Alias: UNIX_ALUTAPS.A, Unix/Backdoor-ADM
Fecha: oct/02
Plataforma: Unix, Linux
Tamaño: varios

Este troyano afecta sólo a sistemas bajo UNIX y Linux. Fue introducido por un intruso en el código fuente del servidor de correo Sendmail 8.12.6. (ver "Software para envío de correo, infectado por virus", http://www.vsantivirus.com/10-10-02.htm).

Sendmail es un software gratuito (freeware) para el envío de mensajes ampliamente usado en servidores de correo electrónico.

Si usted es un operador que ha descargado dicho servidor posteriormente al 27 de setiembre a través de FTP (originalmente desde ftp.sendmail.org, pero otros espejos podrían estar involucrados), es probable que el código fuente esté infectado.

El troyano se ejecuta en el momento en que el código fuente del Sendmail infectado es compilado en el servidor. La versión troyanizada modificó el archivo "/libsm/t-shm.c", para que al ser ejecutado, el mismo descodifique y genere un script llamado "test".

Este script libera un troyano en el archivo "conftest.c", que al compilarlo es nombrado como shell de usuario (sh, csh, bash, tsh, zsh), recoge sus parámetros directamente desde "/etc/passwd" y lo ejecuta. Finalmente el script limpia en parte el archivo troyanizado (t-shm.c), y finaliza.

El troyano establece una conexión remota con la computadora del intruso a través del puerto TCP 6667, quedando a la espera de alguno de los siguientes comandos:
  • Terminar con la ejecución del troyano
  • Abrir un shell remoto
  • Dormir durante una hora

Este troyano tiene similitudes con la versión troyanizada de OpenSSH (ver http://www.vsantivirus.com/02-08-02.htm).

De acuerdo con el CERT (Computer Emergency Response Team Coordination Center), el invasor tendrá los mismos privilegios que el usuario legítimo, pero solo podrá acceder a la máquina en que Sendmail fue compilado, y no a aquellas que lo utilizan ya compilado. Sin embargo, como el sistema comprometido genera una especie de túnel de comunicación con el sistema controlado por el invasor, éste podrá obtener un camino para comprometer otras máquinas de la red, advierte el centro de seguridad.


Más detalles:

CERT® Advisory CA-2002-28 Trojan Horse Sendmail Distribution
http://www.cert.org/advisories/CA-2002-28.html


Solución:

Descargue los nuevos códigos fuentes de este software, y vuelva a compilarlo.


Actualizaciones:
16/oct/02 - Alias: Unix/Backdoor-ADM



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS