src/rootcheck/db/rootkit_files.txt

   1 # @(#) $Id: ./src/rootcheck/db/rootkit_files.txt, 2011/09/08 dcid Exp $
   2
   3 #
   4 # rootkit_files.txt, (C) Daniel B. Cid
   5 # Imported from the rootcheck project.
   6 #
   7 # Lines starting with '#' are not going to be read.
   8 # Blank lines are not going to be read too.
   9 #
  10 # Each line must be in the following format:
  11 # file_name ! Name ::Link to it
  12
  13 # Files that start with an '*' are going to be searched
  14 # in the whole system.
  15
  16
  17 # Bash door
  18 tmp/mcliZokhb                   ! Bash door ::/rootkits/bashdoor.php
  19 tmp/mclzaKmfa                   ! Bash door ::/rootkits/bashdoor.php
  20
  21
  22 #adore Worm
  23 dev/.shit/red.tgz               ! Adore Worm ::/rootkits/adorew.php
  24 usr/lib/libt                    ! Adore Worm ::/rootkits/adorew.php
  25 usr/bin/adore                   ! Adore Worm ::/rootkits/adorew.php
  26 */klogd.o               ! Adore Worm ::/rootkits/adorew.php
  27 */red.tar               ! Adore Worm ::/rootkits/adorew.php
  28
  29
  30 #T.R.K rootkit
  31 usr/bin/soucemask               ! TRK rootkit ::/rootkits/trk.php
  32 usr/bin/sourcemask              ! TRK rootkit ::/rootkits/trk.php
  33
  34
  35 # 55.808.A Worm
  36 tmp/.../a                           ! 55808.A Worm ::
  37 tmp/.../r                           ! 55808.A Worm ::
  38
  39
  40 # Volc Rootkit
  41 usr/lib/volc                    ! Volc Rootkit ::
  42 usr/bin/volc                    ! Volc Rootkit ::
  43
  44
  45 # Illogic
  46 lib/security/.config    ! Illogic Rootkit ::rootkits/illogic.php
  47 usr/bin/sia                         ! Illogic Rootkit ::rootkits/illogic.php
  48 etc/ld.so.hash                  ! Illogic Rootkit ::rootkits/illogic.php
  49 */uconf.inv                     ! Illogic Rootkit ::rootkits/illogic.php
  50
  51
  52 #T0rnkit installed
  53 usr/src/.puta                   ! t0rn Rootkit ::rootkits/torn.php
  54 usr/info/.t0rn                  ! t0rn Rootkit ::rootkits/torn.php
  55 lib/ldlib.tk                    ! t0rn Rootkit ::rootkits/torn.php
  56 etc/ttyhash                         ! t0rn Rootkit ::rootkits/torn.php
  57 sbin/xlogin                         ! t0rn Rootkit ::rootkits/torn.php
  58 */ldlib.tk              ! t0rn Rootkit ::rootkits/torn.php
  59 */.t0rn                 ! t0rn Rootkit ::rootkits/torn.php
  60 */.puta                 ! t0rn Rootkit ::rootkits/torn.php
  61
  62
  63 #RK17
  64 bin/rtty                        ! RK17 ::
  65 bin/squit                       ! RK17 ::
  66 sbin/pback                      ! RK17 ::
  67 proc/kset                       ! RK17 ::
  68 usr/src/linux/modules/autod.o   ! RK17 ::
  69 usr/src/linux/modules/soundx.o  ! RK17 ::
  70
  71
  72 # Ramen Worm
  73 usr/lib/ldlibps.so              ! Ramen Worm ::rootkits/ramen.php
  74 usr/lib/ldlibns.so              ! Ramen Worm ::rootkits/ramen.php
  75 usr/lib/ldliblogin.so   ! Ramen Worm ::rootkits/ramen.php
  76 usr/src/.poop                   ! Ramen Worm ::rootkits/ramen.php
  77 tmp/ramen.tgz                   ! Ramen Worm ::rootkits/ramen.php
  78 etc/xinetd.d/asp                ! Ramen Worm ::rootkits/ramen.php
  79
  80
  81 # Sadmind/IIS Worm
  82 dev/cuc                             ! Sadmind/IIS Worm ::
  83
  84
  85 #Monkit
  86 lib/defs                        ! Monkit ::
  87 usr/lib/libpikapp.a             ! Monkit found ::
  88
  89
  90 #RSHA
  91 usr/bin/kr4p                    ! RSHA ::
  92 usr/bin/n3tstat                 ! RSHA ::
  93 usr/bin/chsh2                   ! RSHA ::
  94 usr/bin/slice2                  ! RSHA ::
  95 etc/rc.d/rsha                   ! RSHA ::
  96
  97
  98 #ShitC worm
  99 bin/home                            ! ShitC ::
 100 sbin/home                           ! ShitC ::
 101 usr/sbin/in.slogind             ! ShitC ::
 102
 103
 104 #Omega Worm
 105 dev/chr                             ! Omega Worm ::
 106
 107
 108 #rh-sharpe
 109 bin/.ps                             ! Rh-Sharpe ::
 110 usr/bin/cleaner                 ! Rh-Sharpe ::
 111 usr/bin/slice                   ! Rh-Sharpe ::
 112 usr/bin/vadim                   ! Rh-Sharpe ::
 113 usr/bin/.ps                         ! Rh-Sharpe ::
 114 bin/.lpstree                    ! Rh-Sharpe ::
 115 usr/bin/.lpstree                ! Rh-Sharpe ::
 116 usr/bin/lnetstat                ! Rh-Sharpe ::
 117 bin/lnetstat                    ! Rh-Sharpe ::
 118 usr/bin/ldu                         ! Rh-Sharpe ::
 119 bin/ldu                             ! Rh-Sharpe ::
 120 usr/bin/lkillall                ! Rh-Sharpe ::
 121 bin/lkillall                    ! Rh-Sharpe ::
 122 usr/include/rpcsvc/du   ! Rh-Sharpe ::
 123
 124
 125 #Maniac RK
 126 usr/bin/mailrc                  ! Maniac RK ::
 127
 128
 129 #Showtee / romaniam
 130 usr/lib/.egcs                   ! Showtee ::
 131 usr/lib/.wormie                 ! Showtee ::
 132 usr/lib/.kinetic                ! Showtee ::
 133 usr/lib/liblog.o                ! Showtee ::
 134 usr/include/addr.h              ! Showtee / Romanian rootkit ::
 135 usr/include/cron.h              ! Showtee ::
 136 usr/include/file.h              ! Showtee / Romaniam rootkit ::
 137 usr/include/syslogs.h   ! Showtee / Romaniam rootkit ::
 138 usr/include/proc.h              ! Showtee / Romaniam rootkit ::
 139 usr/include/chk.h               ! Showtee ::
 140 usr/sbin/initdl                 ! Romanian rootkit ::
 141 usr/sbin/xntps                  ! Romanian rootkit ::
 142
 143
 144 #Optickit
 145 usr/bin/xchk                    ! Optickit ::
 146 usr/bin/xsf                         ! Optickit ::
 147
 148
 149 # LDP worm
 150 dev/.kork                       ! LDP Worm ::
 151 bin/.login                      ! LDP Worm ::
 152 bin/.ps                         ! LDP Worm ::
 153
 154
 155 # Telekit
 156 dev/hda06                       ! TeLeKit trojan ::
 157 usr/info/libc1.so               ! TeleKit trojan ::
 158
 159
 160 # Tribe bot
 161 dev/wd4                         ! Tribe bot ::
 162
 163
 164 # LRK
 165 dev/ida/.inet                   ! LRK rootkit ::rootkits/lrk.php
 166 */bindshell                     ! LRK rootkit ::rootkits/lrk.php
 167
 168
 169 # Adore Rootkit
 170 etc/bin/ava                     ! Adore Rootkit ::
 171 etc/sbin/ava                    ! Adore Rootkit ::
 172
 173
 174 # Slapper
 175 tmp/.bugtraq                    ! Slapper installed ::
 176 tmp/.bugtraq.c                  ! Slapper installed ::
 177 tmp/.cinik                          ! Slapper installed ::
 178 tmp/.b                              ! Slapper installed ::
 179 tmp/httpd                           ! Slapper installed ::
 180 tmp./update                     ! Slapper installed ::
 181 tmp/.unlock                     ! Slapper installed ::
 182 tmp/.font-unix/.cinik   ! Slapper installed ::
 183 tmp/.cinik              ! Slapper installed ::
 184
 185
 186
 187 # Scalper
 188 tmp/.uua                        ! Scalper installed ::
 189 tmp/.a                          ! Scalper installed ::
 190
 191
 192 # Knark
 193 proc/knark                      ! Knark Installed ::rootkits/knark.php
 194 dev/.pizda                      ! Knark Installed ::rootkits/knark.php
 195 dev/.pula                       ! Knark Installed ::rootkits/knark.php
 196 dev/.pula                       ! Knark Installed ::rootkits/knark.php
 197 */taskhack          ! Knark Installed ::rootkits/knark.php
 198 */rootme            ! Knark Installed ::rootkits/knark.php
 199 */nethide           ! Knark Installed ::rootkits/knark.php
 200 */hidef             ! Knark Installed ::rootkits/knark.php
 201 */ered              ! Knark Installed ::rootkits/knark.php
 202
 203
 204 # Lion worm
 205 dev/.lib                        ! Lion Worm ::rootkits/lion.php
 206 dev/.lib/1iOn.sh        ! Lion Worm ::rootkits/lion.php
 207 bin/mjy                         ! Lion Worm ::rootkits/lion.php
 208 bin/in.telnetd          ! Lion Worm ::rootkits/lion.php
 209 usr/info/torn           ! Lion Worm ::rootkits/lion.php
 210 */1iOn\.sh              ! Lion Worm ::rootkits/lion.php
 211
 212
 213 # Bobkit
 214 usr/include/.../                ! Bobkit Rootkit ::rootkits/bobkit.php
 215 usr/lib/.../                    ! Bobkit Rootkit ::rootkits/bobkit.php
 216 usr/sbin/.../                   ! Bobkit Rootkit ::rootkits/bobkit.php
 217 usr/bin/ntpsx                   ! Bobkit Rootkit ::rootkits/bobkit.php
 218 tmp/.bkp                            ! Bobkit Rootkit ::rootkits/bobkit.php
 219 usr/lib/.bkit-              ! Bobkit Rootkit ::rootkits/bobkit.php
 220 */bkit-                     ! Bobkit Rootkit ::rootkits/bobkit.php
 221
 222 # Hidrootkit
 223 var/lib/games/.k                ! Hidr00tkit ::
 224
 225
 226 # Ark
 227 dev/ptyxx                       ! Ark rootkit ::
 228
 229
 230 #Mithra Rootkit
 231 usr/lib/locale/uboot            ! Mithra`s rootkit ::
 232
 233
 234 # Optickit
 235 usr/bin/xsf                     ! OpticKit ::
 236 usr/bin/xchk                    ! OpticKit ::
 237
 238
 239 # LOC rookit
 240 tmp/xp                          ! LOC rookit ::
 241 tmp/kidd0.c                     ! LOC rookit ::
 242 tmp/kidd0                       ! LOC rookit ::
 243
 244
 245 # TC2 worm
 246 usr/info/.tc2k                  ! TC2 Worm ::
 247 usr/bin/util                    ! TC2 Worm ::
 248 usr/sbin/initcheck              ! TC2 Worm ::
 249 usr/sbin/ldb                    ! TC2 Worm ::
 250
 251
 252 # Anonoiyng rootkit
 253 usr/sbin/mech                   ! Anonoiyng rootkit ::
 254 usr/sbin/kswapd                 ! Anonoiyng rootkit ::
 255
 256
 257 # SuckIt
 258 lib/.x                          ! SuckIt rootkit ::
 259 */hide.log          ! Suckit rootkit ::
 260 lib/sk              ! SuckIT rootkit ::
 261
 262
 263 # Beastkit
 264 usr/local/bin/bin               ! Beastkit rootkit ::rootkits/beastkit.php
 265 usr/man/.man10                  ! Beastkit rootkit ::rootkits/beastkit.php
 266 usr/sbin/arobia                 ! Beastkit rootkit ::rootkits/beastkit.php
 267 usr/lib/elm/arobia              ! Beastkit rootkit ::rootkits/beastkit.php
 268 usr/local/bin/.../bktd  ! Beastkit rootkit ::rootkits/beastkit.php
 269
 270
 271 # Tuxkit
 272 dev/tux                         ! Tuxkit rootkit ::rootkits/Tuxkit.php
 273 usr/bin/xsf                     ! Tuxkit rootkit ::rootkits/Tuxkit.php
 274 usr/bin/xchk            ! Tuxkit rootkit ::rootkits/Tuxkit.php
 275 */.file             ! Tuxkit rootkit ::rootkits/Tuxkit.php
 276 */.addr             ! Tuxkit rootkit ::rootkits/Tuxkit.php
 277
 278
 279 # Old rootkits
 280 usr/include/rpc/ ../kit         ! Old rootkits ::rootkits/Old.php
 281 usr/include/rpc/ ../kit2        ! Old rootkits ::rootkits/Old.php
 282 usr/doc/.sl                         ! Old rootkits ::rootkits/Old.php
 283 usr/doc/.sp                         ! Old rootkits ::rootkits/Old.php
 284 usr/doc/.statnet                ! Old rootkits ::rootkits/Old.php
 285 usr/doc/.logdsys                ! Old rootkits ::rootkits/Old.php
 286 usr/doc/.dpct                   ! Old rootkits ::rootkits/Old.php
 287 usr/doc/.gifnocfi               ! Old rootkits ::rootkits/Old.php
 288 usr/doc/.dnif                   ! Old rootkits ::rootkits/Old.php
 289 usr/doc/.nigol                  ! Old rootkits ::rootkits/Old.php
 290
 291
 292 # Kenga3 rootkit
 293 usr/include/. .         ! Kenga3 rootkit
 294
 295
 296 # ESRK rootkit
 297 usr/lib/tcl5.3          ! ESRK rootkit
 298
 299
 300 # Fu rootkit
 301 sbin/xc                 ! Fu rootkit
 302 usr/include/ivtype.h    ! Fu rootkit
 303 bin/.lib                ! Fu rootkit
 304
 305
 306 # ShKit rootkit
 307 lib/security/.config    ! ShKit rootkit
 308 etc/ld.so.hash          ! ShKit rootkit
 309
 310
 311 # AjaKit rootkit
 312 lib/.ligh.gh            ! AjaKit rootkit
 313 lib/.libgh.gh           ! AjaKit rootkit
 314 lib/.libgh-gh           ! AjaKit rootkit
 315 dev/tux                 ! AjaKit rootkit
 316 dev/tux/.proc           ! AjaKit rootkit
 317 dev/tux/.file           ! AjaKit rootkit
 318
 319
 320 # zaRwT rootkit
 321 bin/imin                ! zaRwT rootkit
 322 bin/imout               ! zaRwT rootkit
 323
 324
 325 # Madalin rootkit
 326 usr/include/icekey.h    ! Madalin rootkit
 327 usr/include/iceconf.h   ! Madalin rootkit
 328 usr/include/iceseed.h   ! Madalin rootkit
 329
 330
 331 # shv5 rootkit XXX http://www.askaboutskating.com/forum/.../shv5/setup
 332 lib/libsh.so            ! shv5 rootkit
 333 usr/lib/libsh           ! shv5 rootkit
 334
 335
 336 # BMBL rootkit (http://www.giac.com/practical/GSEC/Steve_Terrell_GSEC.pdf)
 337 etc/.bmbl               ! BMBL rootkit
 338 etc/.bmbl/sk            ! BMBL rootkit
 339
 340
 341 # rootedoor rootkit
 342 */rootedoor             ! Rootedoor rootkit
 343
 344
 345 # 0vason rootkit
 346 */ovas0n                ! ovas0n rootkit ::/rootkits/ovason.php
 347 */ovason                ! ovas0n rootkit ::/rootkits/ovason.php
 348
 349
 350 # Rpimp reverse telnet
 351 */rpimp                 ! rpv21 (Reverse Pimpage)::/rootkits/rpimp.php
 352
 353
 354 # Cback Linux worm
 355 tmp/cback              ! cback worm ::/rootkits/cback.php
 356 tmp/derfiq             ! cback worm ::/rootkits/cback.php
 357
 358
 359 # aPa Kit (from rkhunter)
 360 usr/share/.aPa          ! Apa Kit
 361
 362
 363 # enye-sec Rootkit
 364 etc/.enyelkmHIDE^IT.ko  ! enye-sec Rootkit ::/rootkits/enye-sec.php
 365
 366
 367 # Override Rootkit
 368 dev/grid-hide-pid-     ! Override rootkit ::/rootkits/override.php
 369 dev/grid-unhide-pid-   ! Override rootkit ::/rootkits/override.php
 370 dev/grid-show-pids     ! Override rootkit ::/rootkits/override.php
 371 dev/grid-hide-port-    ! Override rootkit ::/rootkits/override.php
 372 dev/grid-unhide-port-  ! Override rootkit ::/rootkits/override.php
 373
 374
 375 # PHALANX rootkit
 376 usr/share/.home*        ! PHALANX rootkit ::
 377 usr/share/.home*/tty    ! PHALANX rootkit ::
 378 etc/host.ph1            ! PHALANX rootkit ::
 379 bin/host.ph1            ! PHALANX rootkit ::
 380
 381
 382 # ZK rootkit (http://honeyblog.org/junkyard/reports/redhat-compromise2.pdf)
 383 # and from chkrootkit
 384 usr/share/.zk                   ! ZK rootkit ::
 385 usr/share/.zk/zk                ! ZK rootkit ::
 386 etc/1ssue.net                   ! ZK rootkit ::
 387 usr/X11R6/.zk                   ! ZK rootkit ::
 388 usr/X11R6/.zk/xfs               ! ZK rootkit ::
 389 usr/X11R6/.zk/echo              ! ZK rootkit ::
 390 etc/sysconfig/console/load.zk   ! ZK rootkit ::
 391
 392
 393 # Public sniffers
 394 */.linux-sniff          ! Sniffer log ::
 395 */sniff-l0g             ! Sniffer log ::
 396 */core_$                ! Sniffer log ::
 397 */tcp.log               ! Sniffer log ::
 398 */chipsul               ! Sniffer log ::
 399 */beshina               ! Sniffer log ::
 400 */.owned$               | Sniffer log ::
 401
 402
 403 # Solaris worm -
 404 # http://blogs.sun.com/security/entry/solaris_in_telnetd_worm_seen
 405 var/adm/.profile        ! Solaris Worm ::
 406 var/spool/lp/.profile   ! Solaris Worm ::
 407 var/adm/sa/.adm         ! Solaris Worm ::
 408 var/spool/lp/admins/.lp ! Solaris Worm ::
 409
 410
 411 #Suspicious files
 412 etc/rc.d/init.d/rc.modules      ! Suspicious file ::rootkits/Suspicious.php
 413 lib/ldd.so                              ! Suspicious file ::rootkits/Suspicious.php
 414 usr/man/muie                        ! Suspicious file ::rootkits/Suspicious.php
 415 usr/X11R6/include/pain          ! Suspicious file ::rootkits/Suspicious.php
 416 usr/bin/sourcemask                  ! Suspicious file ::rootkits/Suspicious.php
 417 usr/bin/ras2xm                      ! Suspicious file ::rootkits/Suspicious.php
 418 usr/bin/ddc                             ! Suspicious file ::rootkits/Suspicious.php
 419 usr/bin/jdc                             ! Suspicious file ::rootkits/Suspicious.php
 420 usr/sbin/in.telnet                  ! Suspicious file ::rootkits/Suspicious.php
 421 sbin/vobiscum                       ! Suspicious file ::rootkits/Suspicious.php
 422 usr/sbin/jcd                        ! Suspicious file ::rootkits/Suspicious.php
 423 usr/sbin/atd2                       ! Suspicious file ::rootkits/Suspicious.php
 424 usr/bin/ishit               ! Suspicious file ::rootkits/Suspicious.php
 425 usr/bin/.etc                ! Suspicious file ::rootkits/Suspicious.php
 426 usr/bin/xstat                       ! Suspicious file ::rootkits/Suspicious.php
 427 var/run/.tmp                        ! Suspicious file ::rootkits/Suspicious.php
 428 usr/man/man1/lib/.lib           ! Suspicious file ::rootkits/Suspicious.php
 429 usr/man/man2/.man8                  ! Suspicious file ::rootkits/Suspicious.php
 430 var/run/.pid                        ! Suspicious file ::rootkits/Suspicious.php
 431 lib/.so                                 ! Suspicious file ::rootkits/Suspicious.php
 432 lib/.fx                                 ! Suspicious file ::rootkits/Suspicious.php
 433 lib/lblip.tk                        ! Suspicious file ::rootkits/Suspicious.php
 434 usr/lib/.fx                             ! Suspicious file ::rootkits/Suspicious.php
 435 var/local/.lpd                      ! Suspicious file ::rootkits/Suspicious.php
 436 dev/rd/cdb                              ! Suspicious file ::rootkits/Suspicious.php
 437 dev/.rd/                                ! Suspicious file ::rootkits/Suspicious.php
 438 usr/lib/pt07                        ! Suspicious file ::rootkits/Suspicious.php
 439 usr/bin/atm                             ! Suspicious file ::rootkits/Suspicious.php
 440 tmp/.cheese                             ! Suspicious file ::rootkits/Suspicious.php
 441 dev/.arctic                             ! Suspicious file ::rootkits/Suspicious.php
 442 dev/.xman                               ! Suspicious file ::rootkits/Suspicious.php
 443 dev/.golf                               ! Suspicious file ::rootkits/Suspicious.php
 444 dev/srd0                                ! Suspicious file ::rootkits/Suspicious.php
 445 dev/ptyzx                               ! Suspicious file ::rootkits/Suspicious.php
 446 dev/ptyzg                               ! Suspicious file ::rootkits/Suspicious.php
 447 dev/xdf1                                ! Suspicious file ::rootkits/Suspicious.php
 448 dev/ttyop                               ! Suspicious file ::rootkits/Suspicious.php
 449 dev/ttyof                               ! Suspicious file ::rootkits/Suspicious.php
 450 dev/hd7                                 ! Suspicious file ::rootkits/Suspicious.php
 451 dev/hdx1                                ! Suspicious file ::rootkits/Suspicious.php
 452 dev/hdx2                                ! Suspicious file ::rootkits/Suspicious.php
 453 dev/xdf2                                ! Suspicious file ::rootkits/Suspicious.php
 454 dev/ptyp                                ! Suspicious file ::rootkits/Suspicious.php
 455 dev/ptyr                                ! Suspicious file ::rootkits/Suspicious.php
 456 sbin/pback                  ! Suspicious file ::rootkits/Suspicious.php
 457 usr/man/man3/psid           ! Suspicious file ::rootkits/Suspicious.php
 458 proc/kset                   ! Suspicious file ::rootkits/Suspicious.php
 459 usr/bin/gib                 ! Suspicious file ::rootkits/Suspicious.php
 460 usr/bin/snick               ! Suspicious file ::rootkits/Suspicious.php
 461 usr/bin/kfl                 ! Suspicious file ::rootkits/Suspicious.php
 462 tmp/.dump                   ! Suspicious file ::rootkits/Suspicious.php
 463 var/.x                      ! Suspicious file ::rootkits/Suspicious.php
 464 var/.x/psotnic              ! Suspicious file ::rootkits/Suspicious.php
 465 */.log                      ! Suspicious file ::rootkits/Suspicious.php
 466 */ecmf                      ! Suspicious file ::rootkits/Suspicious.php
 467 */mirkforce                 ! Suspicious file ::rootkits/Suspicious.php
 468 */mfclean                   ! Suspicious file ::rootkits/Suspicious.php