類別:Linux病毒
病毒資料:Linux.Plupii.C 是一個Linux病毒,該病毒長度 40,7576 位元組,感染 Linux, Novell Netware, UNIX 系統,它通過系統漏洞傳播,該病毒感染的現象為:
A 在 UDP 連線埠 27015 打開後門,允許黑客遠程控制計算機
B 生成 IP 地址,添加以下內容生成 URL 地址
/cvs/
/articles/mambo/
/cvs/mambo/
/blog/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/drupal/xmlrpc.php
/phpgroupware/xmlrpc.php
/wordpress/xmlrpc.php
/xmlrpc/xmlrpc.php
C 向上述地址傳送http請求,嘗試通過以下漏洞傳播
PHP 的 XML-RPC 遠程注入攻擊 (見漏洞列表 ID 14088
http://www.securityfocus.com/bid/14088 )
awstats日誌外掛程式參數輸入確定漏洞 (見漏洞列表 ID 10950
http://www.securityfocus.com/bid/10950 )
Darryl 外圍遠程執行命令漏洞 (見漏洞列表 ID 13930
http://www.securityfocus.com/bid/13930 )
D 當發現存在漏洞的計算機,病毒利用漏洞從 198.170.105.69 下載腳本檔案到存在漏洞的計算機並執行
E 下載以下病毒到/tmp/.temp目錄,感染計算機
cb (病毒 Linux.Plupii.B)
https (Perl腳本後門病毒)
ping.txt (Perl腳本外殼後門病毒.)
httpd
F 試圖連線預定地址的 TCP 連線埠 8080 ,打開一個外殼後門
G 打開 IRC 後門,連線以下 IRC 伺服器
eu.undernet.org
us.undernet.org
195.204.1.130
194.109.20.90
病毒查找加入含有lametrapchan 字元串的頻道,等待黑客命令
病毒FAQ:Windows下的PE病毒
發現日期:2006-2-27
參考資料:http://www.viruschina.com/news/Vdatabase_detail.asp?id=5115
