|
|
Появилось описание вируса Kernel Intrusion System (KIS), трояна, заражающего системы под управлением Linux 2.2 и 2.4. Вирус записывает свой модуль в ядро системы. После загрузки модуль старается скрыть присутствие вируса и обращается в сеть за командами. Пользуясь KIS-клиентом злоумышленник может отправлять команды на заражённый компьютер жертвы. KIS представляет собой обычный бинарный исполняемый файл, содержащий троян и модуль для ядра системы. Вирус заражает компьютер при запуске этого файла, который устанавливает трояна и загружает модуль. Троян устанавливается в систему, заменяя бинарный файл /sbin/init. После перезагрузки заражённый /sbin/init загружает модуль KIS, а затем вызывает "правильный" init, перемещённый в скрытую директорию – это гарантирует, что KIS-модуль загружается первым. KIS обеспечивает удалённое управление процессами на заражённом компьютере. Вместе со способностью скрывать от жертвы выполняемые команды, операции с файлами и сетью, вирус позволяет использовать компьютеры ничего не подозревающих жертв для начала атак на других пользователей. Наличие вируса в системе можно обнаружить с помощью StMichael 0.05 Linux Kernel Module. Для "исцеления" компьютера необходимо заменить файл init на пустой или на тот, который вирус хранит в скрытой директории (в ней находятся два файла: init – "правильный" и init. – копия трояна). Источник: Журнал "Компьютерра" |
|