OSF.8759

Vorlage:Infobox Computervirus OSF.8759 ist ein Computervirus, der ELF-Binärdateien auf Linux-Systemen infiziert.

Funktion

Der Virus vergrößert die infizierten Dateien um jeweils 8759 Bytes, 4662 davon sind eine Backdoor, die hinten an die Binärdatei angefügt ist. Laut Viruslist.com ist die Backdoor dafür ausgelegt, dass sie nicht zur ELF-Dateistruktur passt. Dadurch können später veränderte Versionen in den Code eingefügt werden.<ref>{{#if:2016-03-04|{{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|Vorlage:FormatDate/Wartung/Error}}| |}}}}{{#if:|{{{autor}}}: }}{{#if:https://web.archive.org/web/20160304212108/https://w.securelist.com/en/descriptions/virus.linux.osf.8759%7C{{#if:Virus.Linux.Osf.8759%7C[{{#invoke:Vorlage:Internetquelle|archivURL|1={{#invoke:URLutil|getNormalized|1=https://web.archive.org/web/20160304212108/https://w.securelist.com/en/descriptions/virus.linux.osf.8759}}}} {{#invoke:Vorlage:Internetquelle|TitelFormat|titel=Virus.Linux.Osf.8759}}]{{#if:| ({{{format}}})}}{{#if:| {{{titelerg}}}{{#invoke:Vorlage:Internetquelle|Endpunkt|titel={{{titelerg}}}}}}}}}|{{#if:https://w.securelist.com/en/descriptions/virus.linux.osf.8759%7C{{#if:{{#invoke:TemplUtl%7Cfaculty%7Cja}}%7C{{#invoke:Vorlage:Internetquelle%7CTitelFormat%7Ctitel={{#invoke:WLink%7CgetEscapedTitle%7C1=Virus.Linux.Osf.8759}}}}%7C[{{#invoke:URLutil|getNormalized|1=https://w.securelist.com/en/descriptions/virus.linux.osf.8759}} {{#invoke:Vorlage:Internetquelle|TitelFormat|titel={{#invoke:WLink|getEscapedTitle|1=Virus.Linux.Osf.8759}}}}]}}{{#if:| ({{{format}}}{{#if:jaSecurelist - English - Global - securelist.comhttps://web.archive.org/web/20160304212108/https://w.securelist.com/en/descriptions/virus.linux.osf.8759{{#if: 2016-03-02 | {{#if:{{#invoke:TemplUtl|faculty|}}||1}}}}

          | )
          | {{#if:{{#ifeq:de|de||{{#if:|1}}}}| ; 
              | )}}}}}}{{#if:| {{{titelerg}}}{{#invoke:Vorlage:Internetquelle|Endpunkt|titel={{{titelerg}}}}}}}}}}}{{#if:https://w.securelist.com/en/descriptions/virus.linux.osf.8759%7C{{#if:{{#invoke:URLutil%7CisResourceURL%7C1=https://w.securelist.com/en/descriptions/virus.linux.osf.8759}}%7C%7C URL ungültig}}}}{{#if:Virus.Linux.Osf.8759|{{#if:{{#invoke:WLink|isValidLinktext|1=Virus.Linux.Osf.8759|lines=0}}|| Linktext ungültig}}}}{{#if: Securelist - English - Global - securelist.com| In: {{#invoke:Vorlage:Internetquelle|TitelFormat|titel=Securelist - English - Global - securelist.com}}}}{{#if: | {{{hrsg}}}{{#if: https://web.archive.org/web/20160304212108/https://w.securelist.com/en/descriptions/virus.linux.osf.8759%7C,%7C{{#if: 2016-03-02 | {{#if:{{#invoke:TemplUtl|faculty|}}|;|,}}}}}}}}{{#if: | {{#if:{{#invoke:DateTime|format|{{{datum}}}|noerror=1}}
            |{{#invoke:DateTime|format|{{{datum}}}|T._Monat JJJJ}}
            |{{#invoke:TemplUtl|failure|1=Fehler bei Vorlage:Internetquelle, datum={{{datum}}}|class=Zitationswartung}} }}{{#if: https://web.archive.org/web/20160304212108/https://w.securelist.com/en/descriptions/virus.linux.osf.8759%7C,%7C{{#if: 2016-03-02 | {{#if:{{#invoke:TemplUtl|faculty|}}|;|,}}}}}}}}{{#if: | S. {{{seiten}}}{{#if: https://web.archive.org/web/20160304212108/https://w.securelist.com/en/descriptions/virus.linux.osf.8759%7C,%7C{{#if: 2016-03-02 | {{#if:{{#invoke:TemplUtl|faculty|}}|;|,}}}}}}}}{{#if: https://web.archive.org/web/20160304212108/https://w.securelist.com/en/descriptions/virus.linux.osf.8759{{#invoke:TemplUtl%7Cfaculty%7Cja}}%7C+{{#if:%7C{{#if:https://web.archive.org/web/20160304212108/https://w.securelist.com/en/descriptions/virus.linux.osf.8759%7Carchiviert%7Cehemals}}%7C{{#if:https://web.archive.org/web/20160304212108/https://w.securelist.com/en/descriptions/virus.linux.osf.8759%7CArchiviert%7CEhemals}}}}+{{#if:https://web.archive.org/web/20160304212108/https://w.securelist.com/en/descriptions/virus.linux.osf.8759%7Cvom%7Cim}}+Vorlage:Referrer{{#if:{{#invoke:TemplUtl|faculty|ja}}| (nicht mehr online verfügbar)}}{{#if: 2016-03-04| am {{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|Vorlage:FormatDate/Wartung/Error}}|2016-03-04{{#if:2190509||(?)}}}}}}{{#if: 2016-03-02|;}}}}{{#if: 2016-03-02| {{#if:https://web.archive.org/web/20160304212108/https://w.securelist.com/en/descriptions/virus.linux.osf.8759{{#invoke:TemplUtl%7Cfaculty%7Cja}}%7Cabgerufen%7CAbgerufen}} {{#switch: {{#invoke:Str|len| {{#invoke:DateTime|format| 2016-03-02 |ISO|noerror=1}} }}
       |4=im Jahr
       |7=im
       |10=am
       |#default={{#invoke:TemplUtl|failure|1=Fehler bei Vorlage:Internetquelle, abruf=2016-03-02|class=Zitationswartung}} }} {{#invoke:DateTime|format|2016-03-02|T._Monat JJJJ}}
    | {{#invoke:TemplUtl|failure|1=Vorlage:Internetquelle | abruf=2026-MM-TT ist Pflichtparameter}} Vorlage:Internetquelle | abruf=2026-MM-TT ist Pflichtparameter}}{{#if:{{#ifeq:de|de||{{#if:|1}}}}|{{#if:jaSecurelist - English - Global - securelist.comhttps://web.archive.org/web/20160304212108/https://w.securelist.com/en/descriptions/virus.linux.osf.8759{{#if: 2016-03-02 | {{#if:{{#invoke:TemplUtl|faculty|}}||1}}}}
       |  (
       | {{#if: | |  (}}
       }}{{#ifeq:{{#if:de|de|de}}|de||
          {{#invoke:Multilingual|format|{{{sprache}}}|slang=!|split=[%s,]+|shift=m|separator=, }}}}{{#if: |{{#ifeq:{{#if:de|de|de}}|de||, }}{{{kommentar}}}}})}}{{#if: https://web.archive.org/web/20160304212108/https://w.securelist.com/en/descriptions/virus.linux.osf.8759{{#if: 2016-03-02 | {{#if:{{#invoke:TemplUtl|faculty|}}||1}} }}|{{#if: |: {{
 #if: 
 | „{{
     #ifeq: {{#if:{{#if: {{#invoke:templutl|faculty|}}|de-ch|de}}|{{#if: {{#invoke:templutl|faculty|}}|de-ch|de}}|de}} | de
     | Vorlage:Str trim
     | {{#invoke:Vorlage:lang|flat}}
     }}“
 | {{#ifeq: {{#if:{{#if: {{#invoke:templutl|faculty|}}|de-ch|de}}|{{#if: {{#invoke:templutl|faculty|}}|de-ch|de}}|de}} | de
     | „Vorlage:Str trim“
     | {{#invoke:Text|quote
         |1={{#if: 
              | {{#invoke:Vorlage:lang|flat}}
              | {{#invoke:Vorlage:lang|flat}} }}
         |2={{#if: {{#invoke:TemplUtl|faculty|}}|de-CH|de}}
         |3=1}} }}

}}{{#if:

   |  (<templatestyles src="Person/styles.css" />{{#if:  | :  }}{{#if:  | , deutsch: „“ }})
   | {{#if: 
       |  ({{#if:  | , deutsch: „“ }})
       | {{#if:  |  (deutsch: „“) }}
 }}

}}{{#if: {{{zitat}}}

   | {{#if: 
       | {{#if: {{{zitat}}}
           | Vorlage:": Text= und 1= gleichzeitig, bzw. Pipe zu viel }} }}
   | Vorlage:": Text= fehlt }}{{#if:  | {{#if: {{#invoke:Text|unstrip|{{{ref}}}}}
             | Vorlage:": Ungültiger Wert: ref=
             | {{{ref}}} }}

}}|.{{#if:{{#invoke:TemplUtl|faculty|ja}}|{{#if:https://web.archive.org/web/20160304212108/https://w.securelist.com/en/descriptions/virus.linux.osf.8759%7C%7C{{#ifeq: ja | JaKeinHinweis |{{#switch:

   |0|=Vorlage:Toter Link/Core{{#if: https://w.securelist.com/en/descriptions/virus.linux.osf.8759
       | {{#if:  | [1] }} (Seite {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar{{#if:  | , festgestellt im {{#invoke:DateTime|format||F Y}} }}. Suche im Internet Archive (T)){{#if: 
           | {{#if: deadurlausgeblendet | | Vorlage:Toter Link/archivebot }}
         }}
       |   (Seite {{#switch:|no|0|=|#default=dauerhaft }}nicht mehr abrufbar{{#if:  | , festgestellt im {{#invoke:DateTime|format||F Y}} }}.)
     }}{{#switch: 
         |no|0|=
         |#default={{#if:  ||  }}
    }}{{#invoke:TemplatePar|check
         |opt      = inline= url= text= datum= date= archivebot= bot= botlauf= fix-attempted= checked=
         |cat      = Wikipedia:Vorlagenfehler/Vorlage:Toter Link
         |errNS    = 0
         |template = Vorlage:Toter Link
         |format   =  @@@
         |preview  = 1
    }}{{#if: https://w.securelist.com/en/descriptions/virus.linux.osf.8759
      | {{#if:{{#invoke:URLutil|isWebURL|https://w.securelist.com/en/descriptions/virus.linux.osf.8759}}
          ||  Fehler bei Vorlage:Toter Link: Wert in 'url' ist ungültig.{{#if:  ||  }} 
        }}
      | {{#if: 
           |  Fehler bei Vorlage:Toter Link: 'text' angegeben, aber 'url'' fehlt.{{#if:  ||  }}
           | {{#if:  ||  }}
        }}
    }}{{#if: 
       | {{#if:{{#invoke:DateTime|format||F Y|noerror=1}}
             ||  Fehler bei Vorlage:Toter Link: Wert in 'date' ist ungültig.{{#if:  ||  }} 
         }}
    }}{{#switch: deadurl
         |checked|deadurl|= 
         |#default=   Fehler bei Vorlage:Toter Link: Wert in 'botlauf' ist ungültig.{{#if:  ||  }}
    }}|#default= https://wiki-de.moshellshocker.dns64.de/index.php?title=Wikipedia:Defekte_Weblinks&dwl=https://w.securelist.com/en/descriptions/virus.linux.osf.8759 Die nachstehende Seite ist {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar]{{#if:  | , festgestellt im {{#invoke:DateTime|format||F Y}} }}. (Suche im Internet Archive. (T).)  {{#if: 
            | {{#if: deadurlausgeblendet | | Vorlage:Toter Link/archivebot }}
         }}Vorlage:Toter Link/Core{{#switch: 
          |no|0|=
          |#default= {{#if:  ||  }}
        }}{{#invoke:TemplatePar|check
         |all      = inline= url=
         |opt      = datum= date= archivebot= bot= botlauf= fix-attempted= checked=
         |cat      = Wikipedia:Vorlagenfehler/Vorlage:Toter Link
         |errNS    = 0
         |template = Vorlage:Toter Link
         |format   =  @@@
         |preview  = 1
       }}{{#if: https://w.securelist.com/en/descriptions/virus.linux.osf.8759
       | {{#if:{{#invoke:URLutil|isWebURL|https://w.securelist.com/en/descriptions/virus.linux.osf.8759}}
          ||  Fehler bei Vorlage:Toter Link: Wert in 'url' ist ungültig.{{#if:  ||  }} 
        }}
    }}{{#if: 
         | {{#if:{{#invoke:DateTime|format||F Y|noerror=1}}
             ||  Fehler bei Vorlage:Toter Link: Wert in 'date' ist ungültig.{{#if:  ||  }} 
           }}
    }}{{#switch: deadurl
         |checked|deadurl|= 
         |#default=   Fehler bei Vorlage:Toter Link: Wert in 'botlauf' ist ungültig.{{#if:  ||  }}
    }}[https://w.securelist.com/en/descriptions/virus.linux.osf.8759 }}|{{#switch: 
   |0|=Vorlage:Toter Link/Core{{#if: https://w.securelist.com/en/descriptions/virus.linux.osf.8759
       | {{#if:  | [2] }} (Seite {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar{{#if:  | , festgestellt im {{#invoke:DateTime|format||F Y}} }}. Suche im Internet Archive (T)){{#if: 2019-05-04 15:54:14 InternetArchiveBot
           | {{#if:  | | Vorlage:Toter Link/archivebot }}
         }}
       |   (Seite {{#switch:|no|0|=|#default=dauerhaft }}nicht mehr abrufbar{{#if:  | , festgestellt im {{#invoke:DateTime|format||F Y}} }}.)
     }}{{#switch: 
         |no|0|=
         |#default={{#if:  ||  }}
    }}{{#invoke:TemplatePar|check
         |opt      = inline= url= text= datum= date= archivebot= bot= botlauf= fix-attempted= checked=
         |cat      = Wikipedia:Vorlagenfehler/Vorlage:Toter Link
         |errNS    = 0
         |template = Vorlage:Toter Link
         |format   =  @@@
         |preview  = 1
    }}{{#if: https://w.securelist.com/en/descriptions/virus.linux.osf.8759
      | {{#if:{{#invoke:URLutil|isWebURL|https://w.securelist.com/en/descriptions/virus.linux.osf.8759}}
          ||  Fehler bei Vorlage:Toter Link: Wert in 'url' ist ungültig.{{#if:  ||  }} 
        }}
      | {{#if: 
           |  Fehler bei Vorlage:Toter Link: 'text' angegeben, aber 'url'' fehlt.{{#if:  ||  }}
           | {{#if:  ||  }}
        }}
    }}{{#if: 
       | {{#if:{{#invoke:DateTime|format||F Y|noerror=1}}
             ||  Fehler bei Vorlage:Toter Link: Wert in 'date' ist ungültig.{{#if:  ||  }} 
         }}
    }}{{#switch: 
         |checked|deadurl|= 
         |#default=   Fehler bei Vorlage:Toter Link: Wert in 'botlauf' ist ungültig.{{#if:  ||  }}
    }}|#default= https://wiki-de.moshellshocker.dns64.de/index.php?title=Wikipedia:Defekte_Weblinks&dwl=https://w.securelist.com/en/descriptions/virus.linux.osf.8759 Die nachstehende Seite ist {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar]{{#if:  | , festgestellt im {{#invoke:DateTime|format||F Y}} }}. (Suche im Internet Archive. (T).)  {{#if: 2019-05-04 15:54:14 InternetArchiveBot
            | {{#if:  | | Vorlage:Toter Link/archivebot }}
         }}Vorlage:Toter Link/Core{{#switch: 
          |no|0|=
          |#default= {{#if:  ||  }}
        }}{{#invoke:TemplatePar|check
         |all      = inline= url=
         |opt      = datum= date= archivebot= bot= botlauf= fix-attempted= checked=
         |cat      = Wikipedia:Vorlagenfehler/Vorlage:Toter Link
         |errNS    = 0
         |template = Vorlage:Toter Link
         |format   =  @@@
         |preview  = 1
       }}{{#if: https://w.securelist.com/en/descriptions/virus.linux.osf.8759
       | {{#if:{{#invoke:URLutil|isWebURL|https://w.securelist.com/en/descriptions/virus.linux.osf.8759}}
          ||  Fehler bei Vorlage:Toter Link: Wert in 'url' ist ungültig.{{#if:  ||  }} 
        }}
    }}{{#if: 
         | {{#if:{{#invoke:DateTime|format||F Y|noerror=1}}
             ||  Fehler bei Vorlage:Toter Link: Wert in 'date' ist ungültig.{{#if:  ||  }} 
           }}
    }}{{#switch: 
         |checked|deadurl|= 
         |#default=   Fehler bei Vorlage:Toter Link: Wert in 'botlauf' ist ungültig.{{#if:  ||  }}
    }}[https://w.securelist.com/en/descriptions/virus.linux.osf.8759 }} }}}}}}}}}}{{#if:2019-05-04 15:54:14 InternetArchiveBot|
        {{#invoke:Vorlage:Internetquelle|archivBot|stamp=2019-05-04 15:54:14 InternetArchiveBot|text={{#if:https://web.archive.org/web/20160304212108/https://w.securelist.com/en/descriptions/virus.linux.osf.8759%7CVorlage:Webarchiv/archiv-bot}}

}}}} {{#invoke:TemplatePar|check |all= url= titel= |opt= autor= hrsg= format= sprache= titelerg= werk= seiten= datum= abruf= zugriff= abruf-verborgen= archiv-url= archiv-datum= archiv-bot= kommentar= zitat= AT= CH= offline= |cat= {{#ifeq: 0 | 0 | Wikipedia:Vorlagenfehler/Vorlage:Internetquelle}} |template= Vorlage:Internetquelle |format=0 |preview=1 }}</ref>

Der Virus versucht alle Dateien in seinem Verzeichnis rekursiv zu infizieren. Sobald er mit Root-Konto-Rechten gestartet wird, versucht er alle Dateien im /bin Verzeichnis zu kompromittieren. In jedem Fall werden jedoch maximal 200 Dateien in einem Programmlauf infiziert. Dateien aus den Verzeichnissen /dev und /proc und alle Dateien mit der Endung ps wie in maps werden nicht angegriffen. Die Backdoor liest das UDP auf Port 3049 aus und stellt Befehle zur Verfügung, die Binärdateien auf dem Zielsystem ausführen. Während der Ausführung probiert der Virus, die Firewall-Regeln zu verändern, um die Backdoor nicht zu stören. Er startet außerdem einen eigenen Debugger, um Debugging auf dem System zu verhindern. Sollte der Debugger nicht starten können, ist es möglich, dass vom System schon ein Debugger gestartet wurde. In diesem Fall beendet sich das Programm.

Siehe auch

• Liste von Linux-Malware
• Malware

Einzelnachweise

<references />

en:OSF.8759