[Tech] mircforce

[Gianni Bianchini]

On Mon, Sep 02, 2002 at 04:55:59PM +0200, Patrizia Fusi wrote:

> qualcuno sa come funziona?

Mirkforce esamina la rete locale della macchina che lo esegue (/24)
cercando eventuali IP non utilizzati da altre macchine e crea in
corrispondenza di ciascuno di essi un alias sull'interfaccia di rete.
Questo allo scopo di creare cloni su irc.

> e come eliminarlo?

E' tipicamente un binario linkato staticamente presente sul disco da
qualche parte magari sotto mentite spoglie. Di solito e' responsabile
di varie connessioni verso server irc, per cui in linea di principio
e' rivelabile con tool tipo netstat + fuser o lsof.
Il problema e' che per fare quello che fa, mirkforce ha bisogno di
privilegi root, per cui tipicamente la macchina su cui gira e'
compromessa a livello superuser, e questo comporta problemi di altro
tipo come la presenza nel sistema di cavalli di troia di vario genere,
tesi eventualmente anche al mascheramento della presenza dello stesso
mirkforce. Il problema e' quindi, piu' che il mirkforce in se', quello
ben piu' grave che l'account root sia compromesso.

Ciao.
Gianni.

--
   Gianni Bianchini - giannibi@firenze.linux.it
   768D/C5D54F84    - "I'm not a number! I'm a free man!" (laughter)