Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Linux.Ellipsis.1

Добавлен в вирусную базу Dr.Web: 2015-09-10

Описание добавлено:

SHA1:

  • dc4229d5fb4ee05ad2f7643e57a5d5796e43e8c8 (unpacked)
  • 29d053a4ed228630904538cfb859d7ad54281161 (packed)

Вредоносная программа для ОС Linux, предназначенная для организации на инфицированном компьютере прокси-сервера. Распространяется путем подбора пары логин-пароль для доступа по протоколу SSH.

Может принимать следующие входные аргументы:

  • --lport - локальный порт для использования под прокси;
  • --laddr - локальный адрес для использования под прокси;
  • --cport - порт управляющего сервера;
  • --caddr – IP-адрес управляющего сервера;
  • --debug - не используется;
  • --timeout - таймаут для запросов;
  • --ident - параметр ident для стандартной функции syslog;
  • --name – то же, что ident;
  • --syslog – включить запись информации в системный журнал;
  • --transproxy - реализовать SOCKS-прокси на зараженной машине;
  • --secret - если задан данный параметр, то удаляет свой оригинальный файл и создает свою копию в директории "/etc/tirqd";
  • --noweb - не поддерживать HTTP-трафик;
  • --anti - включить «параноидальный» режим;
  • --pretimeout – то же, что и timeout;
  • --udp – IP-адрес управляющего сервера (данные будут отправлены методом, отличным от caddr);
  • --killer – «убивать» процессы при обращении к определенным адресам;
  • --badcn – список адресов для блокировки;
  • --yaban - не используется.

В процессе инициализации троянец удаляет свой рабочий каталог ("/tmp/.../") и очищает правила для iptables. Затем он завершает различные приложения, в том числе программы для ведения и просмотра логов, анализа трафика:

killall syslogd rsyslogd syslog syslog-ng named dnscache dnsmasq tcpdump
killall -9 syslogd rsyslogd syslog syslog-ng named dnscache dnsmasq tcpdump
kill -9 `pidof syslogd rsyslogd syslog syslog-ng named dnscache dnsmasq tcpdump`

После этого троянец удаляет существующие файлы журналов по маскам "/var/log/*" и "/disk/*log*". На их месте, с целью предотвращения создания директорий и файловых объектов с такими же именами в будущем, создает следующие каталоги:

mkdir /var/log/all.log /var/log/auth.log /var/log/messages /var/log/secure /var/log/everything.log /var/log/messages.log /disk/all.log /disk/auth.log /disk/messages /disk/secure /disk/everything.log /disk/messages.log

Вредоносная программа модифицирует конфигурационный файл "/etc/coyote/coyote.conf" таким образом, чтобы он содержал строку:

alias passwd=cat\n

Удаляет следующие системные утилиты из каталогов /bin/, /sbin/, /usr/bin/:

  • passwd
  • chattr
  • lsattr
  • tcpdump
  • wget
  • netstat
  • pstree
  • strace
  • curl
  • lsof
  • reboot
  • shutdown
  • poweroff
  • halt

Устанавливает флаг «immutable» для следующих файлов:

  • /usr/sbin/iptables
  • /sbin/iptables
  • /etc/shadow
  • /etc/passwd
  • /bin/ps
  • /bin/grep

Если троянцу был передан список адресов с помощью аргумента «badcn», эти адреса блокируются, также блокируются адреса, содержащиеся в трех списках, которые хранятся в теле троянца. Под «блокировкой» понимается предотвращение приема или передачи пакетов информации с/на определенный IP-адрес по заданному порту или протоколу с помощью создания соответствующих правил iptables. Для первых двух списков блокируются TCP- и ICMP-пакеты, для третьего списка - все.

Для каждого заблокированного IP или диапазона IP создается соответствующий файл в домашнем каталоге троянца с расширением ".filtered".

В целях реализации своей основной функции — работы в качестве прокси-сервера — троянец открывает заданный порт и контролирует соединения по заданному локальному адресу laddr:lport или, если laddr не задан, 0.0.0.0:lport.

Если во входящих параметрах троянцу был задан аргумент "noweb", вредоносная программа анализирует передаваемый от клиента серверу трафик и ищет в пакетах строки:

Accept-Language: 
User-Agent: Mozilla/

После чего заменяет их на

Client: %08X

где вместо %08X подставляется IP-адрес управляющего сервера в hex-представлении. Также строка

?ip=12345678for

заменяется на

?ip=%08Xfor

где вместо %08X также подставляется IP-адрес управляющего сервера в hex-представлении.

Если во входящих параметрах троянцу был задан аргумент "anti" и "lport" со значением "80", то в пакетах выполняется поиск строки "Location: http://" и в случае ее обнаружения троянец создает пустой файл с именем "/tmp/.../ip.good", где ip – IP-адрес, специально сформированный троянцем. Алгоритм генерации:

rndnum = Rnd() % 25 + 97;
ip_a ^= rndnum ^ 5;
ip_b ^= rndnum ^ 8;
ip_c ^= rndnum ^ 10;
ip_d ^= rndnum ^ 3;
sscanf(dword_807A728, "%d.%d.%d.%d", &ip_a, &ip_b, &ip_c, &ip_d);

Кроме того, если параметр "lport" был указан со значениями 80 или 8080, то в пакетах выполняется поиск строки " PHP//apsession/", при обнаружении которой троянец подставляет в пакет строку, сформированную следующим образом:

snprintf(&phpapsession, 10, "%c%02x%02x%02x%02x", rndnum, ip_a, ip_b, ip_c, ip_d);

Троянец имеет довольно обширный список характерных строк, обнаруживая которые в сетевом трафике он блокирует обмен данными с соответствующим удаленным сервером по IP-адресу:

kproxy.com
Mozilla/5.0 (compatible; coccoc/1.0; +http://help.coccoc.com/)
Mozilla/5.0 (compatible; LinkpadBot/1.06; +http://www.linkpad.ru)
Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0); 360Spider
Mozilla/5.0 (compatible; oBot/2.3.1; +http://filterdb.iss.net/crawler/)
Mozilla/5.0 (compatible; spbot/4.0.9; +http://OpenLinkProfiler.org/bot )
Mozilla/5.0 (compatible; spbot/4.1.0; +http://OpenLinkProfiler.org/bot )
Mozilla/5.0 (compatible; SputnikBot/2.3)
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1; 360Spider
Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.0.13) Gecko/2009073022 Firefox/3.5.2 (.NET CLR 3.5.30729) SurveyBot/2.3 (DomainTools)
Mozilla/5.0 (Windows; Crawler; U; Windows NT 6.0; en-US; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7 (.NET CLR 3.5.30729)
Hellocoton.fr
nutch-1.4/Nutch-1.4
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; InfoPath.2; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E)
Mozilla/4.0 (Windows 98; US) Opera 10.00 [en]
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10
Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7
Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.1.249.1025 Safari/532.5
Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.16
SurveyBot
DomainTools
SV1; InfoPath.2; .NET CLR 2.0.50727
Chrome/4.1.249.1025
YandexBot
SpeedTestSpeedTest
ooglebot
panscient.com
Yahoo! Slurp;
spamspamspam
slowhttptest
ihatespammers
nospam.html
SpamBlocker
Hendas HTTP
/?stopspamme
/?injection
User-Agent: Java
../../..
djbghklmxtvwtyafzchcm
eghijkacfm.herathle
Wget
SPAMMING
stop_spaming_me
GET /10.php HTTP
GET /20.php HTTP
GET /30.php HTTP
GET /40.php HTTP
odfnh.brahfuwzu
lylvueleb
impulse-m.
dnikoydle
gisro.a
goodcarecard.a

Также в этот перечень добавляется содержимое файла "/etc/badwords". Список запрещенных слов также имеет вариативную часть, которая зависит от содержимого входного пакета:

  • Если HTTP-заголовок содержит строку:
    User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
    тогда в список запрещенного добавляются значения:
    eapmygev.
    ascuviej.
  • Если указаны поля:
    Accept: */*\nAccept-language: en-us\n
    или имеется строка:
    xonfavhowl
    тогда запрещенный список пополняется строкой:
    GET /index.php HTTP
  • Если указано поле:
    Accept-Language: en-US
    А также отсутствует поле "Referer", и поле GET содержит одну строку из списка:
    GET /products/ HTTP
    GET /cart/ HTTP
    GET / HTTP
    тогда в список запрещенных строк добавляется значение:
    Accept: */*
  • Если был запрошен файл с расширением .gif или .jpg, то в «черный список» попадают строки:
    _ HTTP
    spammer
    CONTACTING_US
  • Если указано поле
    Accept:
    тогда черный список пополняется строкой
    sssid=

Также троянец использует список подозрительных, игнорируемых слов, в который добавляется содержимое файла "/etc/ignorewords".

Помимо блокировки удаленных узлов по адресам из заложенного в него списка троянец проверяет все сетевые подключения компьютера и отсылает на управляющий сервер IP-адрес, с которым установлено соединение. Если сервер отвечает командой "kill", троянец прекращает работу приложения, которое установило соединение, а заодно блокирует этот IP-адрес с помощью iptables. В своем домашнем каталоге Linux.Ellipsis.1 создает файл с именем "ip.filtered", где вместо "ip" подставляется строчное представление заблокированного IP-адреса. Аналогичная проверка производится для процессов, имеющих в имени строку "sshd". IP-адреса из списков блокируются навсегда, в то время как все остальные — на 2 часа: отдельный процесс троянца раз в полчаса проверяет содержимое собственного домашнего каталога и ищет там файлы, созданные более двух часов назад, имя которых начинается с IP-адреса, после чего удаляет их и соответствующее правило в таблице iptables.

Новость о троянце

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру