アイ・ディフェンス・ジャパンからの情報によると、ローレンス・バークレー国立研究所(Lawrence Berkeley National Laboratory)のlibpcap、tcpdumpのソースコードのコピーをホストしているウェブサイト、Tcpdump.orgが乗っ取られ、ソースコードにトロイの木馬が組み
国際
16views
アイ・ディフェンス・ジャパンからの情報によると、ローレンス・バークレー国立研究所(Lawrence Berkeley National Laboratory)のlibpcap、tcpdumpのソースコードのコピーをホストしているウェブサイト、Tcpdump.orgが乗っ取られ、ソースコードにトロイの木馬が組み込まれた。トロイの木馬が組み込まれたソースコードでは、構成スクリプト、gencode.c(libpcapのみ該当)が変更されている。変更された構成スクリプトは、http://mars.raketti.net/~mash/servicesから"services"ファイルをダウンロードする。ウェブサイトはフィンランドで登録されている。さらに、servicesファイルは埋め込みシェルスクリプトでソース化され、Cファイルを作成し、さらにコンパイルされる。生成されたプログラムは、ポート1963でIPアドレス212.146.0.34 (mars.raketti.net)に接続し、以下の3つで1バイトのステータスコードのうちの1つを読み込む。
o A - プログラムを終了する o D - シェルをfork、spawnし、必要なファイル記述子の操作を実行し、既存の接続から212.146.0.34にリダイレクトする o M - 接続を閉じ、1時間後に再接続する
