Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troyano en "libpcap" y "tcpdump"
 
VSantivirus No. 860 - Año 7 - Jueves 14 de noviembre de 2002

 Troyano en "libpcap" y "tcpdump"
http://www.vsantivirus.com/14-11-02.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Libpcap y Tcpdump son respectivamente, una librería y una herramienta muy utilizadas en ambientes Linux, que proporcionan facilidades de monitoreo de paquetes a programas como Snort (Libpcap), o directamente monitorean el intercambio de paquetes en los protocolos TCP/IP (Tcpdump).

Según el descubrimiento de un grupo de usuarios de Linux (The Houston Linux Users Group), los códigos fuentes más recientes de Libpcap y de Tcpdump, disponibles para descarga del sitio tcpdump.org, están contaminados con el código de un troyano.

La advertencia fue inmediatamente reportada a los responsables de tcpdump.org, quienes deshabilitaron las descargas de dichos códigos hasta no se corrija la falla.

El código del troyano permite la descarga de un script de comandos que puede crear un archivo en C y luego compilarlo.

El código compilado se conecta a través del puerto 1963, a una dirección IP determinada (212.146.0.34) y examina el estado de tres bytes de control para realizar diferentes acciones:
  • A - Finaliza el programa
  • D - Crea un shell de comandos y lo redirecciona a la conexión IP mencionada
  • M - Cierra la conexión, se pone a dormir por 3,600 segundos, y luego se vuelve a conectar.

Es importante hacer notar que el troyano utiliza siempre la misma conexión para el shell (entradas y salidas), de modo que puede saltearse a cualquier cortafuego que solo filtre las conexiones de entrada.

El script "Gencode.c", es modificado para forzar a que Libpcap ignore paquetes desde y hacia el propio troyano, escondiendo de este modo su propio tráfico.

Esta acción es similar a la causada hace unos meses por el troyano del OpenSSH (ver: "Versión troyanizada de OpenSSH", http://www.vsantivirus.com/02-08-02.htm).

Las versiones afectadas en este caso, son las más recientes. Pero solo pueden estar infectadas las que hayan sido compiladas a partir del código fuente modificado.

Para comprobar cuáles son los códigos fuentes correctos, y cuáles los troyanizados, puede utilizarse una herramienta MD5.

MD5 es un algoritmo que realiza la comprobación de la integridad de archivos binarios, mediante la generación de códigos de control llamados "hashes".

De acuerdo a esto, los códigos fuentes limpios, poseen los siguientes hashes MD5:

  MD5 Sum 0597c23e3496a5c108097b2a0f1bd0c7 libpcap-0.7.1.tar.gz
  MD5 Sum 6bc8da35f9eed4e675bfdf04ce312248 tcpdump-3.6.2.tar.gz
  MD5 Sum 03e5eac68c65b7e6ce8da03b0b0b225e tcpdump-3.7.1.tar.gz

Las fuentes troyanizadas en cambio, dan como resultado los siguientes hashes:

  MD5 Sum 73ba7af963aff7c9e23fa1308a793dca libpcap-0.7.1.tar.gz
  MD5 Sum 3a1c2dd3471486f9c7df87029bf2f1e9 tcpdump-3.6.2.tar.gz
  MD5 Sum 3c410d8434e63fb3931fe77328e4dd88 tcpdump-3.7.1.tar.gz

La solución pasa por volver a compilar ambas utilidades, pero asegurándose que se está haciendo desde un código limpio.

Es importante tener en cuenta que aunque las versiones malas han sido retiradas del sitio original, pueden existir muchos sitios espejos que aún las tengan.


Más información:

HLUG - Latest libpcap & tcpdump sources from tcpdump.org contain a trojan.
http://hlug.fscker.com

Versión troyanizada de OpenSSH
http://www.vsantivirus.com/02-08-02.htm

Unix/Sendmail-ADM. Versión troyanizada de "Sendmail"
http://www.vsantivirus.com/unix-sendmail-adm.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS