VSantivirus No. 2157 Año 10, martes 6 de junio de 2006
Tsunami.NAB. Virus que usa vulnerabilidad en Mambo
http://www.vsantivirus.com/tsunami-nab.htm
Nombre: Tsunami.NAB
Nombre NOD32: Linux/Tsunami.NAB
Tipo: Virus (ELF)
Alias: Tsunami.NAB, Linux/Tsunami.NAB
Fecha: 5/jun/06
Plataforma: Linux, Unix
Tamaño: 34,531 bytes
Ejecutable de Linux (ELF), que puede ser liberado por otros malwares utilizando una conocida vulnerabilidad en Mambo, un ampliamente utilizado administrador de contenidos web de código abierto.
Una antigua vulnerabilidad en la validación de ciertas variables usadas en scripts, permite a un atacante remoto la ejecución de código. Más información:
Mambo Function.php Arbitrary Command Execution
http://www.osvdb.org/10180
Cuando este malware se ejecuta, intenta conectarse a alguno de los siguientes servidores de IRC:
67 .43 .234 .119
Chat .NewChrousty .Org
irc .newchrousty .org
LaLiPuS .NewChrousty .Org
Micro-ISP .NewChrousty .Org
Sympatico .Qc .Ca .NewChrousty .org
Trois-Rivieres .Qc .Ca .NewChrousty .org
Si logra conectarse, se une a un determinado canal utilizando diversos puertos TCP, quedando a la espera de instrucciones de un usuario remoto.
Algunas de las posibles acciones:
- Cambiar de servidor de IRC
- Cambiar de usuario
- Descargar archivos de otros servidores
- Ejecutar archivos de forma remota
- Enviar información del sistema infectado
- Enviar paquetes UDP
- Falsificar direcciones IP
- Finalizar su ejecución
- Habilitar o deshabilitar un cliente IRC
- Iniciar ataques de denegación de servicio
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
