RST.b
| RST.b | |
|---|---|
| Name | RST.b |
| Bekannt seit | 2001 |
| Virustyp | Dateivirus |
| System | Linux |
| Info | Kann eine Backdoor einrichten |
RST.b ist ein Computervirus für Linux. Die Angaben über die Entdeckung schwanken zwischen Ende 2001[1] und Anfang 2002.[2]
Funktion[Bearbeiten | Quelltext bearbeiten]
Infektionsroutine[Bearbeiten | Quelltext bearbeiten]
RST.b ist ein sogenannter direct-action Infector und versucht bei Ausführung, alle Dateien im Verzeichnis /bin- und dem aktuellen Verzeichnis zu infizieren.[2] Die Datumsinformationen der Dateien ändert das Virus auf das Datum der Infizierung, die Dateigröße nimmt um 4096 Bytes zu.
Erkennen kann man eine Infektion an den Dateiveränderungen. Der Hersteller Sophos bietet ein Tool zur Erkennung.
Payload[Bearbeiten | Quelltext bearbeiten]
Wird das Virus mit Rootrechten ausgeführt, richtet er eine Hintertür ein.[3]
Situation im Jahr 2003[Bearbeiten | Quelltext bearbeiten]
Verbreitung fand das Virus auch, indem es mit infizierter Original-Software auf die Computer gelangte. Ein koreanischer Mozilla Downloadmirror bot eine infizierte Firefox-Version zum Download an,[2] ein Diagnoseprogramm des BIOS- und Motherboard-Herstellers American Megatrends wurde auf der Herstellerseite ebenfalls infiziert zum Download bereitgestellt.[4] Mindestens eine Version des Wurms Lupper war standardmäßig mit RST.b infiziert.
Einzelnachweise[Bearbeiten | Quelltext bearbeiten]
- ↑ https://www.broadcom.com/support/security-center/detected-writeup?docid=2004-052312-2729-99
- ↑ a b c Dirk Knop: Mozilla-Mirror lieferte infizierte Software aus [Update]. In: heise.de. 22. September 2005, abgerufen am 3. Februar 2024.
- ↑ https://www.pro-linux.de/artikel/2/543/erkennung-des-virus-linuxrst-b.html
- ↑ Jürgen Schmidt: Virus auf Download-Seiten eines Board-Herstellers [Update]. In: heise.de. 17. September 2005, abgerufen am 3. Februar 2024.