Trojansk hest inficerer snifferprogram

Artiklen blev oprindeligt publiceret den 14/11/2002

En version af kildekoden til snifferprogrammet Tcpdump er inficeret med en trojansk hest, der giver en angriber kontakt med den computer, programmet kompileres på. Den inficerede version var tilgængelig på www.tcpdump.org i et par dage, før det blev opdaget.

Den trojanske hest kører, når man starter Tcpdump-programmet Configure. Den forbinder sig til en bestemt adresse, hvor den henter et script. Dette script henter kildekoden til et C-program, som derefter kompileres og køres. Dette program forbinder sig med hackerens server på port 1963 og læser en enkelt byte. Denne byte udgør kommandoen til den trojanske hest:

• A - får den trojanske hest til at holde op med at køre
• D - opretter en shell, som forbindes til hackerens computer
• M - lukker forbindelsen og venter i en time

Også det underliggende bibliotek Libpcap, der tager sig af at opsamle netværkspakker til Tcpdump, er ændret. Det er indstillet, så det ikke længere registrerer trafik på port 1963.

CERT/CC (det amerikanske CERT-koordinationscenter) anbefaler, at man kontroller checksummen, hvis man har downloadet Tcpdump for nylig. Rene versioner kan hentes på Sourceforge.

Links

• Advarsel fra CERT/CC
• Tcpdump fra Sourceforge
• Libpcap fra Sourceforge