Господа из французской группы K-OTik Security Research & Survey провели аудит кода руткита, который предлагалось скачать с сайта fedora-redhat.com (естественно, тоже подложного). В сообщении сообщалось, что обновление якобы латает уязвимость в утилитах ls и mkdir входящих в состав пакета fileutils. В результате проведённого исследования было выяснено, что руткит: создаёт пользователя "bash" без пароля (UID=GID=0), получает информацию об IP-адресе и времени работы системы (uptime), запускает демон SSHD (для обеспечения удалённого доступа со стороны), пересылает информацию на почтовый адрес root@addlebrain.com. Собственно, само тело руткита содержится в файле inst.c.
Анализ кода