_Dextenea

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 164145 Octet(s)

Détails techniques:

Lorsqu'il est exécuté, Dextenea crée les fichiers suivants :

/usr/secure (2712 octets)
/usr/doc/sys/qrt (96778 octets)
/usr/doc/sys/run (6086 octets)
/usr/doc/sys/crond (9259 octets)
/usr/sbin/kfd (8776 octets)

Puis il remplace plusieurs fichiers légitimes par une copie de lui-même dans le but de cacher sa présence :

/bin/ps ou /usr/bin/ps (16419 octets)
/bin/netstat ou /usr/bin/netstat (taille variable)

Il crée ensuite les répertoires suivants :

/lib/security/.config/ssh
/usr/doc/kern
/usr/doc/backup
/usr/doc/backup/txt
/lib/backup
/lib/backup/txt
/usr/doc/work
/usr/doc/sys

Dextenea tente de copier un fichier script nommé "S80rpcmap" dans les répertoires suivants afin d'être exécuté à chaque démarrage de Linux :

/etc/rc.d/rc2.d
/etc/rc.d/rc3.d
/etc/rc.d/rc4.d
/etc/rc.d/rc5.d

Dextenea installe un serveur telnet et un daemon SSH modifié en guise de porte dérobée. L'attaquant est ainsi autorisé à se connecter à la machine infectée en utilisant un identifiant, un mot de passe et un port de son choix.

Dextenea crée l'utilisateur nommé "r00t" pour que l'attaquant puisse se connecter sur la machine infecter via SSH.

Dextenea tente d'installer plusieurs root kits, outils de piratages et scanners réseaux permettant à un attaquant d'utiliser la machine compromise pour lancer des attaques vers d'autres ordinateurs :

kfence
adore
psybnc
flood
mole
selena

Enfin, Dextenea envoi un e-mail contenant des informations concernant la machine corrompue à une adresse e-mail prédéfinie.