Ngày phát hiện: 12 – 09 – 2007
Hiểm họa: Backdoor
Chi tiết kỹ thuật
Trojan này cho phép người dùng nguy hiểm từ xa truy cập vào máy tính nhiễm độc. Nó là một đoạn mã kịch bản PHP có dung lượng 229051 byte.
Cài đặt
Backdoor này có thể được cài đặt trên một máy chủ web bởi một người dùng độc hại từ xa bằng cách upload nó lên thông qua FTP, sử dụng tài khoản ăn trộm được từ quản trị viên. Nó cũng có thể được sử dụng để khai thác một loạt các lỗ hổng website và thông qua đó upload một file ngẫu nhiên lên thư mục có chứa các kịch bản site. Khi nó thành công, một trang ẩn sẽ xuất hiện trên site. Nếu mở trang này ra sẽ cho phép người dùng độc hại khởi chạy backdoor và thi hành các hàm độc hại của nó.
Hoạt động
Backdoor này được thiết kế để cung cấp từ xa, không có quyền quản trị của các máy chủ web. Khi backdoor chạy, người dùng độc hại sẽ thấy một giao diện backdoor như sau:
Backdoor có thể kiểm soát các hành động sau trên máy chủ từ xa:
1. Cho phép truy cập toàn quyền lên các file trên ổ cứng
2. Tính toán phạm vi của các bản hash cho chuỗi
3. Chạy trình duyệt lệnh và kết nối chuẩn input/output chuẩn của nó với một cổng TCP cụ thể.
4. Kết nối input/output chuẩn của trình duyệt lệnh với dữ liệu từ máy chủ IRC (datapipe)
5. Xem một danh sách các quá trình được chạy trên máy chủ
6. Thực thi ngẫu nhiên một đoạn code PHP
7. Download/ upload các file từ máy chủ về và ngược lại
8. Tìm kiếm các file trên ổ cứng máy chủ với nội dung cụ thể
9. Quản lý cơ sở dữ liệu mysql (xem/tạo/sửa cơ sở dữ liệu/bảng)
10. Chạy các dòng lệnh Shell
11. Quét các tài khoản máy chủ FTP có mật khẩu yếu (ví dụ như tên tài khoản và mật khẩu khớp với nó)
12. Xóa bản sao của chính nó từ ổ cứng máy chủ bằng lệnh
13. Tạo một tài khoản người dùng không cần mật khẩu
14. Xem các người dùng hoạt động trên hệ thống
15. Xóa các bản ghi hoạt động của chính nó trong phần log máy chủ Apache
16. Khai thác loạt các lỗ hổng của nhân Linux và trình dịch lệnh bash.
17. Chạy thông qua máy chủ proxy dưới
http://*****faced.org/proxy/index.php?q=
Để ẩn đi địa chỉ của người dùng độc hại từ xa.
Hướng dẫn gỡ bỏ
Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:
1. Xóa file chương trình mã độc gốc trên máy (vị trí file tùy thuộc vào cách nó xâm nhập ban đầu vào máy tính nạn nhân).
2. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.