A houstoni Linux Users Group (HLUG) tagjai trójai kódot fedeztek fel a libpcap és a tcpdump forráskódjában. Sajnos a hírek szerint a tcpdump.org-on található forrásban is benne van a a trójai kód, így akár bármely Linux/Unix disztribúció érintett lehet. A HLUG tagjai értesítették a tcpdump.org karbantartóit.
Részletek:* "The trojan contains modifications to the configure script and gencode.c (in libpcap only).
* The configure script downloads http://mars.raketti.net/~mash/services which is then sourced with the shell. It contains an embedded shell script that creates a C file, and compiles it.
* The program connects to 212.146.0.34 (mars.raketti.net) on port 1963 and reads one of three one byte status codes:
A - program exits
D - forks and spawns a shell and does the needed file descriptor manipulation to redirect it to the existing connection to 212.146.0.34.
M - closes connection, sleeps 3600 seconds, and then reconnects..."
Teljes sztori itt.