INFOPEDIA

Trojský kůň Typot

I když se o Linuxu často hovoří jako o synonymu pro bezpečnost, ani tento operační systém není imunní proti virové infekci. I když množství nových virů zdaleka není tak velké, jako u Windows, se vzrůstající oblibou Linuxu se pravděpodobně bude tento stav postupně měnit. Důkazem tohoto tvrzení je nový trojský kůň Typot.

Repertoár činnosti mnoha virů na platformě Windows je dnes již dost ohraný. Kromě několika zajímavějších infektů, jakými byl v posledních týdnech např. virus Bugbear, je velká většina virů poměrně nezajímavá. Tím, co předvádějí, se navzájem dost podobají a o nějaké originalitě v seznamu jejich činností nebo použitých technik nelze hovořit. O to zajímavější je sledovat vývoj virové scény v Linuxu.

Trojan.Linux.Typot, známý též pod aliasy Stumbler, Dubbed Stumbler, Elf_Typot nebo 55808, byl poprvé zaznamenán 20. června 2003. Projevuje se tak, že generuje falešné TCP pakety a provádí distribuované skenování otevřených portů na náhodných počítačích v Internetu. Jeho velikost je proměnlivá. Na operačních systémech z rodiny Windows, OS/2, MacOS ale i Unix není nebezpečný. Mechanismus jeho zanesení do systému není dosud příliš jasný.

Jak již bylo řečeno, hlavní činností viru je generování TCP paketů a jejich posílání do sítě. Pokud je UserID nebo efektive UserID root, trojan vstoupí do smyčky přičemž každou druhou sekundu posílá ven SYN paket. Pakety mají pevnou charakteristiku, včetně velikosti TCP okna, která je nastavena na 55,808. Zdrojové a cílové IP adresy, ze kterých a na které jsou pakety posílány, jakož i čísla portů, jsou vybírány náhodně. To znamená, že i když port na vzdáleném počítači bude otevřený, odpovědi s k trojskému koni nebudou vracet. Tato vlastnost činí trojana hůře vystopovatelným. Zdrojová hardwarová MAC adresa pro tyto pakety je nastavena na D:E:A:D:0:0 a cílová na 0:10:67:0:b1:86. Typot se také snaží sledovat síťový provoz – přepne síťové rozhraní do promiskuitního módu a naslouchá veškerému provozu na fyzickém síťovém segmentu. Takto číhá na pakety, které mají velikost TCP okna 55,808, tedy stejnou, jakou produkuje on sám. V podstatě se tedy pokouší poslechem zachytit odpovědi pro TCP SYN na požadavky jiných instancí trojského koně z jiných infikovaných systémů. Když nějaký takový paket objeví, vytvoří v aktuálním adresáři (tedy v adresáři ve kterém se sám nachází) soubor s názvem „r“ a sebraná data do něj zapíše. Každých 24 hodin Typot kontroluje, zda je soubor „r“ vytvořen, a pokud ano, pokouší se připojit k pevné IP adrese 12.108.65.76 (zřejmě adrese nějakého stroje, který má autor viru pod kontrolou), spojením na TCP portu 22 (SSH port) a nasbíraná data odeslat. Pokud je spojení neúspěšné, Typot odinstaluje sám sebe tím, že vymaže soubor „/tmp/../a“ (což je jeho vlastní kopie) a ukončí svoji činnost ve snaze předejít svému odhalení.

Trojan.Linux.Typot je staticky navázaný na dobře známé knihovny libnet a libcap, které se používají na simulaci a zachytávání síťového provozu a práci s pakety. Je zakódován utilitou Cryptelf nebo XEgypT. Jakmile se spustí, rozkóduje sám sebe za použití hesla, které si vloží přes příkazovou řádku. Podle své činnosti Typot působí dojmem, že se jedná o nějaký experimentální projekt, zkoumající nové způsoby skenování portů, případně by se mohlo jednat o součást nějakých pokusů o vytvoření „mapy“ systémů s internetovou konktivitou. Protože je dynamicky linkován k glibc 2.3, bude funkční jen na posledních verzích linuxových distribucí.

««« Předchozí text: Free Digital Camera Enhancer 1.3 Následující text: Zone Alarm a port 137 »»»