(linux-br)Warning: Possible LKM Trojan installed (ou alarme falso?)

Sun, 14 Dec 2003 17:03:36 -0800 

Prezados,

Ao executar o chkrootkit 0.42b na minha m�quina Conectiva 9 com Kernel 
2.4.21-31301U90_11cl, obtive o aviso de que haveriam processos 
escondidos ao programa "ps" e que poss�velmente estaria infectada por 
um cavalo de tr�ia LKM. E o mesmo aconteceu em outra m�quina com o 
Kernel 2.4.21-28872cl.
Verificando melhor, percebi que esse aviso s� � mostrado quando 
determinados programas, que creio utilizem-se de threads de execu��o, 
est�o na mem�ria, como o Mozilla e o Java. 
Exemplo:
...
Checking `lkm'... You have     5 process hidden for ps command
Warning: Possible LKM Trojan installed

# ./chproc -v -v

PID  3005: not in ps output
CWD  3005: /home/afilho
EXE  3005: /usr/lib/mozilla/mozilla-bin
PID  3006: not in ps output
CWD  3006: /home/afilho
EXE  3006: /usr/lib/mozilla/mozilla-bin
PID  3007: not in ps output
CWD  3007: /home/afilho
EXE  3007: /usr/lib/mozilla/mozilla-bin
PID  3008: not in ps output
CWD  3008: /home/afilho
EXE  3008: /usr/lib/mozilla/mozilla-bin
PID  3604: not in ps output
CWD  3604: /home/afilho
EXE  3604: /usr/lib/mozilla/mozilla-bin
You have     5 process hidden for ps command

# cat /proc/{3005,3006,3007,3008,3604}/status | egrep Name
Name:   mozilla-bin
Name:   mozilla-bin
Name:   mozilla-bin
Name:   mozilla-bin
Name:   mozilla-bin

# ps ax
...
 2953 tty1     S      0:24 /usr/lib/mozilla/mozilla-bin -UILocale pt-BR
 3005 tty1     S      0:00 /usr/lib/mozilla/mozilla-bin -UILocale pt-BR
 3006 tty1     S      0:00 /usr/lib/mozilla/mozilla-bin -UILocale pt-BR
 3007 tty1     S      0:00 /usr/lib/mozilla/mozilla-bin -UILocale pt-BR
 3008 tty1     S      0:00 /usr/lib/mozilla/mozilla-bin -UILocale pt-BR
 3604 tty1     S      0:00 /usr/lib/mozilla/mozilla-bin -UILocale pt-BR
 3889 pts/2    R      0:00 ps ax

Se n�o executo o Mozilla ou o Java nada aparece.
Minha m�quina est� realmente infectada ou ser� um alarme falso?
Algu�m pode me ajudar?

Abra�os.


---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br

Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html

Responder a