src/rootcheck/db/rootkit_files.txt

   1 # @(#) $Id: rootkit_files.txt,v 1.21 2009/01/29 16:53:37 dcid Exp $
   2 #
   3 # rootkit_files.txt, (C) Daniel B. Cid
   4 # Imported from the rootcheck project.
   5 #
   6 # Lines starting with '#' are not going to be read.
   7 # Blank lines are not going to be read too.
   8 #
   9 # Each line must be in the following format:
  10 # file_name ! Name ::Link to it
  11
  12 # Files that start with an '*' are going to be searched
  13 # in the whole system.
  14
  15
  16 # Bash door
  17 tmp/mcliZokhb                   ! Bash door ::/rootkits/bashdoor.php
  18 tmp/mclzaKmfa                   ! Bash door ::/rootkits/bashdoor.php
  19
  20
  21 #adore Worm
  22 dev/.shit/red.tgz               ! Adore Worm ::/rootkits/adorew.php
  23 usr/lib/libt                    ! Adore Worm ::/rootkits/adorew.php
  24 usr/bin/adore                   ! Adore Worm ::/rootkits/adorew.php
  25 */klogd.o               ! Adore Worm ::/rootkits/adorew.php
  26 */red.tar               ! Adore Worm ::/rootkits/adorew.php
  27
  28
  29 #T.R.K rootkit
  30 usr/bin/soucemask               ! TRK rootkit ::/rootkits/trk.php
  31 usr/bin/sourcemask              ! TRK rootkit ::/rootkits/trk.php
  32
  33
  34 # 55.808.A Worm
  35 tmp/.../a                           ! 55808.A Worm ::
  36 tmp/.../r                           ! 55808.A Worm ::
  37
  38
  39 # Volc Rootkit
  40 usr/lib/volc                    ! Volc Rootkit ::
  41 usr/bin/volc                    ! Volc Rootkit ::
  42
  43
  44 # Illogic
  45 lib/security/.config    ! Illogic Rootkit ::rootkits/illogic.php
  46 usr/bin/sia                         ! Illogic Rootkit ::rootkits/illogic.php
  47 etc/ld.so.hash                  ! Illogic Rootkit ::rootkits/illogic.php
  48 */uconf.inv                     ! Illogic Rootkit ::rootkits/illogic.php
  49
  50
  51 #T0rnkit installed
  52 usr/src/.puta                   ! t0rn Rootkit ::rootkits/torn.php
  53 usr/info/.t0rn                  ! t0rn Rootkit ::rootkits/torn.php
  54 lib/ldlib.tk                    ! t0rn Rootkit ::rootkits/torn.php
  55 etc/ttyhash                         ! t0rn Rootkit ::rootkits/torn.php
  56 sbin/xlogin                         ! t0rn Rootkit ::rootkits/torn.php
  57 */ldlib.tk              ! t0rn Rootkit ::rootkits/torn.php
  58 */.t0rn                 ! t0rn Rootkit ::rootkits/torn.php
  59 */.puta                 ! t0rn Rootkit ::rootkits/torn.php
  60
  61
  62 #RK17
  63 bin/rtty                        ! RK17 ::
  64 bin/squit                       ! RK17 ::
  65 sbin/pback                      ! RK17 ::
  66 proc/kset                       ! RK17 ::
  67 usr/src/linux/modules/autod.o   ! RK17 ::
  68 usr/src/linux/modules/soundx.o  ! RK17 ::
  69
  70
  71 # Ramen Worm
  72 usr/lib/ldlibps.so              ! Ramen Worm ::rootkits/ramen.php
  73 usr/lib/ldlibns.so              ! Ramen Worm ::rootkits/ramen.php
  74 usr/lib/ldliblogin.so   ! Ramen Worm ::rootkits/ramen.php
  75 usr/src/.poop                   ! Ramen Worm ::rootkits/ramen.php
  76 tmp/ramen.tgz                   ! Ramen Worm ::rootkits/ramen.php
  77 etc/xinetd.d/asp                ! Ramen Worm ::rootkits/ramen.php
  78
  79
  80 # Sadmind/IIS Worm
  81 dev/cuc                             ! Sadmind/IIS Worm ::
  82
  83
  84 #Monkit
  85 lib/defs                        ! Monkit ::
  86 usr/lib/libpikapp.a             ! Monkit found ::
  87
  88
  89 #RSHA
  90 usr/bin/kr4p                    ! RSHA ::
  91 usr/bin/n3tstat                 ! RSHA ::
  92 usr/bin/chsh2                   ! RSHA ::
  93 usr/bin/slice2                  ! RSHA ::
  94 etc/rc.d/rsha                   ! RSHA ::
  95
  96
  97 #ShitC worm
  98 bin/home                            ! ShitC ::
  99 sbin/home                           ! ShitC ::
 100 usr/sbin/in.slogind             ! ShitC ::
 101
 102
 103 #Omega Worm
 104 dev/chr                             ! Omega Worm ::
 105
 106
 107 #rh-sharpe
 108 bin/.ps                             ! Rh-Sharpe ::
 109 usr/bin/cleaner                 ! Rh-Sharpe ::
 110 usr/bin/slice                   ! Rh-Sharpe ::
 111 usr/bin/vadim                   ! Rh-Sharpe ::
 112 usr/bin/.ps                         ! Rh-Sharpe ::
 113 bin/.lpstree                    ! Rh-Sharpe ::
 114 usr/bin/.lpstree                ! Rh-Sharpe ::
 115 usr/bin/lnetstat                ! Rh-Sharpe ::
 116 bin/lnetstat                    ! Rh-Sharpe ::
 117 usr/bin/ldu                         ! Rh-Sharpe ::
 118 bin/ldu                             ! Rh-Sharpe ::
 119 usr/bin/lkillall                ! Rh-Sharpe ::
 120 bin/lkillall                    ! Rh-Sharpe ::
 121 usr/include/rpcsvc/du   ! Rh-Sharpe ::
 122
 123
 124 #Maniac RK
 125 usr/bin/mailrc                  ! Maniac RK ::
 126
 127
 128 #Showtee / romaniam
 129 usr/lib/.egcs                   ! Showtee ::
 130 usr/lib/.wormie                 ! Showtee ::
 131 usr/lib/.kinetic                ! Showtee ::
 132 usr/lib/liblog.o                ! Showtee ::
 133 usr/include/addr.h              ! Showtee / Romanian rootkit ::
 134 usr/include/cron.h              ! Showtee ::
 135 usr/include/file.h              ! Showtee / Romaniam rootkit ::
 136 usr/include/syslogs.h   ! Showtee / Romaniam rootkit ::
 137 usr/include/proc.h              ! Showtee / Romaniam rootkit ::
 138 usr/include/chk.h               ! Showtee ::
 139 usr/sbin/initdl                 ! Romanian rootkit ::
 140 usr/sbin/xntps                  ! Romanian rootkit ::
 141
 142
 143 #Optickit
 144 usr/bin/xchk                    ! Optickit ::
 145 usr/bin/xsf                         ! Optickit ::
 146
 147
 148 # LDP worm
 149 dev/.kork                       ! LDP Worm ::
 150 bin/.login                      ! LDP Worm ::
 151 bin/.ps                         ! LDP Worm ::
 152
 153
 154 # Telekit
 155 dev/hda06                       ! TeLeKit trojan ::
 156 usr/info/libc1.so               ! TeleKit trojan ::
 157
 158
 159 # Tribe bot
 160 dev/wd4                         ! Tribe bot ::
 161
 162
 163 # LRK
 164 dev/ida/.inet                   ! LRK rootkit ::rootkits/lrk.php
 165 */bindshell                     ! LRK rootkit ::rootkits/lrk.php
 166
 167
 168 # Adore Rootkit
 169 etc/bin/ava                     ! Adore Rootkit ::
 170 etc/sbin/ava                    ! Adore Rootkit ::
 171
 172
 173 # Slapper
 174 tmp/.bugtraq                    ! Slapper installed ::
 175 tmp/.bugtraq.c                  ! Slapper installed ::
 176 tmp/.cinik                          ! Slapper installed ::
 177 tmp/.b                              ! Slapper installed ::
 178 tmp/httpd                           ! Slapper installed ::
 179 tmp./update                     ! Slapper installed ::
 180 tmp/.unlock                     ! Slapper installed ::
 181 tmp/.font-unix/.cinik   ! Slapper installed ::
 182 tmp/.cinik              ! Slapper installed ::
 183
 184
 185
 186 # Scalper
 187 tmp/.uua                        ! Scalper installed ::
 188 tmp/.a                          ! Scalper installed ::
 189
 190
 191 # Knark
 192 proc/knark                      ! Knark Installed ::rootkits/knark.php
 193 dev/.pizda                      ! Knark Installed ::rootkits/knark.php
 194 dev/.pula                       ! Knark Installed ::rootkits/knark.php
 195 dev/.pula                       ! Knark Installed ::rootkits/knark.php
 196 */taskhack          ! Knark Installed ::rootkits/knark.php
 197 */rootme            ! Knark Installed ::rootkits/knark.php
 198 */nethide           ! Knark Installed ::rootkits/knark.php
 199 */hidef             ! Knark Installed ::rootkits/knark.php
 200 */ered              ! Knark Installed ::rootkits/knark.php
 201
 202
 203 # Lion worm
 204 dev/.lib                        ! Lion Worm ::rootkits/lion.php
 205 dev/.lib/1iOn.sh        ! Lion Worm ::rootkits/lion.php
 206 bin/mjy                         ! Lion Worm ::rootkits/lion.php
 207 bin/in.telnetd          ! Lion Worm ::rootkits/lion.php
 208 usr/info/torn           ! Lion Worm ::rootkits/lion.php
 209 */1iOn\.sh              ! Lion Worm ::rootkits/lion.php
 210
 211
 212 # Bobkit
 213 usr/include/.../                ! Bobkit Rootkit ::rootkits/bobkit.php
 214 usr/lib/.../                    ! Bobkit Rootkit ::rootkits/bobkit.php
 215 usr/sbin/.../                   ! Bobkit Rootkit ::rootkits/bobkit.php
 216 usr/bin/ntpsx                   ! Bobkit Rootkit ::rootkits/bobkit.php
 217 tmp/.bkp                            ! Bobkit Rootkit ::rootkits/bobkit.php
 218 usr/lib/.bkit-              ! Bobkit Rootkit ::rootkits/bobkit.php
 219 */bkit-                     ! Bobkit Rootkit ::rootkits/bobkit.php
 220
 221 # Hidrootkit
 222 var/lib/games/.k                ! Hidr00tkit ::
 223
 224
 225 # Ark
 226 dev/ptyxx                       ! Ark rootkit ::
 227
 228
 229 #Mithra Rootkit
 230 usr/lib/locale/uboot            ! Mithra`s rootkit ::
 231
 232
 233 # Optickit
 234 usr/bin/xsf                     ! OpticKit ::
 235 usr/bin/xchk                    ! OpticKit ::
 236
 237
 238 # LOC rookit
 239 tmp/xp                          ! LOC rookit ::
 240 tmp/kidd0.c                     ! LOC rookit ::
 241 tmp/kidd0                       ! LOC rookit ::
 242
 243
 244 # TC2 worm
 245 usr/info/.tc2k                  ! TC2 Worm ::
 246 usr/bin/util                    ! TC2 Worm ::
 247 usr/sbin/initcheck              ! TC2 Worm ::
 248 usr/sbin/ldb                    ! TC2 Worm ::
 249
 250
 251 # Anonoiyng rootkit
 252 usr/sbin/mech                   ! Anonoiyng rootkit ::
 253 usr/sbin/kswapd                 ! Anonoiyng rootkit ::
 254
 255
 256 # SuckIt
 257 lib/.x                          ! SuckIt rootkit ::
 258 */hide.log          ! Suckit rootkit ::
 259 lib/sk              ! SuckIT rootkit ::
 260
 261
 262 # Beastkit
 263 usr/local/bin/bin               ! Beastkit rootkit ::rootkits/beastkit.php
 264 usr/man/.man10                  ! Beastkit rootkit ::rootkits/beastkit.php
 265 usr/sbin/arobia                 ! Beastkit rootkit ::rootkits/beastkit.php
 266 usr/lib/elm/arobia              ! Beastkit rootkit ::rootkits/beastkit.php
 267 usr/local/bin/.../bktd  ! Beastkit rootkit ::rootkits/beastkit.php
 268
 269
 270 # Tuxkit
 271 dev/tux                         ! Tuxkit rootkit ::rootkits/Tuxkit.php
 272 usr/bin/xsf                     ! Tuxkit rootkit ::rootkits/Tuxkit.php
 273 usr/bin/xchk            ! Tuxkit rootkit ::rootkits/Tuxkit.php
 274 */.file             ! Tuxkit rootkit ::rootkits/Tuxkit.php
 275 */.addr             ! Tuxkit rootkit ::rootkits/Tuxkit.php
 276
 277
 278 # Old rootkits
 279 usr/include/rpc/ ../kit         ! Old rootkits ::rootkits/Old.php
 280 usr/include/rpc/ ../kit2        ! Old rootkits ::rootkits/Old.php
 281 usr/doc/.sl                         ! Old rootkits ::rootkits/Old.php
 282 usr/doc/.sp                         ! Old rootkits ::rootkits/Old.php
 283 usr/doc/.statnet                ! Old rootkits ::rootkits/Old.php
 284 usr/doc/.logdsys                ! Old rootkits ::rootkits/Old.php
 285 usr/doc/.dpct                   ! Old rootkits ::rootkits/Old.php
 286 usr/doc/.gifnocfi               ! Old rootkits ::rootkits/Old.php
 287 usr/doc/.dnif                   ! Old rootkits ::rootkits/Old.php
 288 usr/doc/.nigol                  ! Old rootkits ::rootkits/Old.php
 289
 290
 291 # Kenga3 rootkit
 292 usr/include/. .         ! Kenga3 rootkit
 293
 294
 295 # ESRK rootkit
 296 usr/lib/tcl5.3          ! ESRK rootkit
 297
 298
 299 # Fu rootkit
 300 sbin/xc                 ! Fu rootkit
 301 usr/include/ivtype.h    ! Fu rootkit
 302 bin/.lib                ! Fu rootkit
 303
 304
 305 # ShKit rootkit
 306 lib/security/.config    ! ShKit rootkit
 307 etc/ld.so.hash          ! ShKit rootkit
 308
 309
 310 # AjaKit rootkit
 311 lib/.ligh.gh            ! AjaKit rootkit
 312 lib/.libgh.gh           ! AjaKit rootkit
 313 lib/.libgh-gh           ! AjaKit rootkit
 314 dev/tux                 ! AjaKit rootkit
 315 dev/tux/.proc           ! AjaKit rootkit
 316 dev/tux/.file           ! AjaKit rootkit
 317
 318
 319 # zaRwT rootkit
 320 bin/imin                ! zaRwT rootkit
 321 bin/imout               ! zaRwT rootkit
 322
 323
 324 # Madalin rootkit
 325 usr/include/icekey.h    ! Madalin rootkit
 326 usr/include/iceconf.h   ! Madalin rootkit
 327 usr/include/iceseed.h   ! Madalin rootkit
 328
 329
 330 # shv5 rootkit XXX http://www.askaboutskating.com/forum/.../shv5/setup
 331 lib/libsh.so            ! shv5 rootkit
 332 usr/lib/libsh           ! shv5 rootkit
 333
 334
 335 # BMBL rootkit (http://www.giac.com/practical/GSEC/Steve_Terrell_GSEC.pdf)
 336 etc/.bmbl               ! BMBL rootkit
 337 etc/.bmbl/sk            ! BMBL rootkit
 338
 339
 340 # rootedoor rootkit
 341 */rootedoor             ! Rootedoor rootkit
 342
 343
 344 # 0vason rootkit
 345 */ovas0n                ! ovas0n rootkit ::/rootkits/ovason.php
 346 */ovason                ! ovas0n rootkit ::/rootkits/ovason.php
 347
 348
 349 # Rpimp reverse telnet
 350 */rpimp                 ! rpv21 (Reverse Pimpage)::/rootkits/rpimp.php
 351
 352
 353 # Cback Linux worm
 354 tmp/cback              ! cback worm ::/rootkits/cback.php
 355 tmp/derfiq             ! cback worm ::/rootkits/cback.php
 356 */cback                ! cback worm ::/rootkits/cback.php
 357
 358
 359 # aPa Kit (from rkhunter)
 360 usr/share/.aPa          ! Apa Kit
 361
 362
 363 # enye-sec Rootkit
 364 etc/.enyelkmHIDE^IT.ko  ! enye-sec Rootkit ::/rootkits/enye-sec.php
 365
 366
 367 # Override Rootkit
 368 dev/grid-hide-pid-     ! Override rootkit ::/rootkits/override.php
 369 dev/grid-unhide-pid-   ! Override rootkit ::/rootkits/override.php
 370 dev/grid-show-pids     ! Override rootkit ::/rootkits/override.php
 371 dev/grid-hide-port-    ! Override rootkit ::/rootkits/override.php
 372 dev/grid-unhide-port-  ! Override rootkit ::/rootkits/override.php
 373
 374
 375 # PHALANX rootkit
 376 usr/share/.home.ph1     ! PHALANX rootkit ::
 377 usr/share/.home.ph1/tty ! PHALANX rootkit ::
 378 etc/host.ph1            ! PHALANX rootkit ::
 379 bin/host.ph1            ! PHALANX rootkit ::
 380
 381
 382 # ZK rootkit (http://honeyblog.org/junkyard/reports/redhat-compromise2.pdf)
 383 # and from chkrootkit
 384 usr/share/.zk                   ! ZK rootkit ::
 385 usr/share/.zk/zk                ! ZK rootkit ::
 386 etc/1ssue.net                   ! ZK rootkit ::
 387 usr/X11R6/.zk                   ! ZK rootkit ::
 388 usr/X11R6/.zk/xfs               ! ZK rootkit ::
 389 usr/X11R6/.zk/echo              ! ZK rootkit ::
 390 etc/sysconfig/console/load.zk   ! ZK rootkit ::
 391
 392
 393 # Public sniffers
 394 */.linux-sniff          ! Sniffer log ::
 395 */sniff-l0g             ! Sniffer log ::
 396 */core_$                ! Sniffer log ::
 397 */tcp.log               ! Sniffer log ::
 398 */chipsul               ! Sniffer log ::
 399 */beshina               ! Sniffer log ::
 400 */.owned$               | Sniffer log ::
 401
 402
 403 # Solaris worm -
 404 # http://blogs.sun.com/security/entry/solaris_in_telnetd_worm_seen
 405 var/adm/.profile        ! Solaris Worm ::
 406 var/spool/lp/.profile   ! Solaris Worm ::
 407 var/adm/sa/.adm         ! Solaris Worm ::
 408 var/spool/lp/admins/.lp ! Solaris Worm ::
 409
 410
 411 #Suspicious files
 412 etc/rc.d/init.d/rc.modules      ! Suspicious file ::rootkits/Suspicious.php
 413 lib/ldd.so                              ! Suspicious file ::rootkits/Suspicious.php
 414 usr/man/muie                        ! Suspicious file ::rootkits/Suspicious.php
 415 usr/X11R6/include/pain          ! Suspicious file ::rootkits/Suspicious.php
 416 usr/bin/sourcemask                  ! Suspicious file ::rootkits/Suspicious.php
 417 usr/bin/ras2xm                      ! Suspicious file ::rootkits/Suspicious.php
 418 usr/bin/ddc                             ! Suspicious file ::rootkits/Suspicious.php
 419 usr/bin/jdc                             ! Suspicious file ::rootkits/Suspicious.php
 420 usr/sbin/in.telnet                  ! Suspicious file ::rootkits/Suspicious.php
 421 sbin/vobiscum                       ! Suspicious file ::rootkits/Suspicious.php
 422 usr/sbin/jcd                        ! Suspicious file ::rootkits/Suspicious.php
 423 usr/sbin/atd2                       ! Suspicious file ::rootkits/Suspicious.php
 424 usr/bin/ishit               ! Suspicious file ::rootkits/Suspicious.php
 425 usr/bin/.etc                ! Suspicious file ::rootkits/Suspicious.php
 426 usr/bin/xstat                       ! Suspicious file ::rootkits/Suspicious.php
 427 var/run/.tmp                        ! Suspicious file ::rootkits/Suspicious.php
 428 usr/man/man1/lib/.lib           ! Suspicious file ::rootkits/Suspicious.php
 429 usr/man/man2/.man8                  ! Suspicious file ::rootkits/Suspicious.php
 430 var/run/.pid                        ! Suspicious file ::rootkits/Suspicious.php
 431 lib/.so                                 ! Suspicious file ::rootkits/Suspicious.php
 432 lib/.fx                                 ! Suspicious file ::rootkits/Suspicious.php
 433 lib/lblip.tk                        ! Suspicious file ::rootkits/Suspicious.php
 434 usr/lib/.fx                             ! Suspicious file ::rootkits/Suspicious.php
 435 var/local/.lpd                      ! Suspicious file ::rootkits/Suspicious.php
 436 dev/rd/cdb                              ! Suspicious file ::rootkits/Suspicious.php
 437 dev/.rd/                                ! Suspicious file ::rootkits/Suspicious.php
 438 usr/lib/pt07                        ! Suspicious file ::rootkits/Suspicious.php
 439 usr/bin/atm                             ! Suspicious file ::rootkits/Suspicious.php
 440 tmp/.cheese                             ! Suspicious file ::rootkits/Suspicious.php
 441 dev/.arctic                             ! Suspicious file ::rootkits/Suspicious.php
 442 dev/.xman                               ! Suspicious file ::rootkits/Suspicious.php
 443 dev/.golf                               ! Suspicious file ::rootkits/Suspicious.php
 444 dev/srd0                                ! Suspicious file ::rootkits/Suspicious.php
 445 dev/ptyzx                               ! Suspicious file ::rootkits/Suspicious.php
 446 dev/ptyzg                               ! Suspicious file ::rootkits/Suspicious.php
 447 dev/xdf1                                ! Suspicious file ::rootkits/Suspicious.php
 448 dev/ttyop                               ! Suspicious file ::rootkits/Suspicious.php
 449 dev/ttyof                               ! Suspicious file ::rootkits/Suspicious.php
 450 dev/hd7                                 ! Suspicious file ::rootkits/Suspicious.php
 451 dev/hdx1                                ! Suspicious file ::rootkits/Suspicious.php
 452 dev/hdx2                                ! Suspicious file ::rootkits/Suspicious.php
 453 dev/xdf2                                ! Suspicious file ::rootkits/Suspicious.php
 454 dev/ptyp                                ! Suspicious file ::rootkits/Suspicious.php
 455 dev/ptyr                                ! Suspicious file ::rootkits/Suspicious.php
 456 sbin/pback                  ! Suspicious file ::rootkits/Suspicious.php
 457 usr/man/man3/psid           ! Suspicious file ::rootkits/Suspicious.php
 458 proc/kset                   ! Suspicious file ::rootkits/Suspicious.php
 459 usr/bin/gib                 ! Suspicious file ::rootkits/Suspicious.php
 460 usr/bin/snick               ! Suspicious file ::rootkits/Suspicious.php
 461 usr/bin/kfl                 ! Suspicious file ::rootkits/Suspicious.php
 462 tmp/.dump                   ! Suspicious file ::rootkits/Suspicious.php
 463 var/.x                      ! Suspicious file ::rootkits/Suspicious.php
 464 var/.x/psotnic              ! Suspicious file ::rootkits/Suspicious.php
 465 */.log                      ! Suspicious file ::rootkits/Suspicious.php
 466 */ecmf                      ! Suspicious file ::rootkits/Suspicious.php
 467 */mirkforce                 ! Suspicious file ::rootkits/Suspicious.php
 468 */mfclean                   ! Suspicious file ::rootkits/Suspicious.php