Classe principal: VirWare
Vírus e worms são programas maliciosos que se auto-replicam em computadores ou através de redes de computadores sem que o usuário esteja ciente; cada cópia subsequente de tais programas maliciosos também é capaz de se auto-replicar. Programas maliciosos que se espalham através de redes ou infectam máquinas remotas quando são ordenados pelo “proprietário” (por exemplo, Backdoors) ou programas que criam múltiplas cópias que não podem se auto-replicar não fazem parte da subclasse Vírus e Worms. A principal característica usada para determinar se um programa é ou não classificado como um comportamento separado dentro da subclasse Vírus e Worms é como o programa se propaga (ou seja, como o programa malicioso espalha cópias de si mesmo via recursos locais ou de rede). como arquivos enviados como anexos de email, através de um link para um recurso web ou FTP, através de um link enviado em uma mensagem ICQ ou IRC, via redes de compartilhamento de arquivos P2P, etc. Alguns worms são distribuídos como pacotes de rede; estes penetram diretamente na memória do computador, e o código do worm é então ativado. Os worms usam as seguintes técnicas para penetrar em computadores remotos e iniciar cópias de si mesmos: engenharia social (por exemplo, uma mensagem de email sugerindo que o usuário abre um arquivo anexado), explorando erros de configuração de rede (como copiar para um disco totalmente acessível) e explorando lacunas na segurança do sistema operacional e do aplicativo. Os vírus podem ser divididos de acordo com o método usado para infectar um computador: vírus de arquivo vírus do setor de inicialização vírus de macro vírus de script Qualquer programa dentro dessa subclasse pode ter funções adicionais de cavalo de Tróia. Também deve ser notado que muitos worms usam mais de um método para distribuir cópias via redes. As regras para classificar objetos detectados com múltiplas funções devem ser usadas para classificar esses tipos de worms.Classe: Net-Worm
Net-Worms propagam-se através de redes de computadores. A característica distintiva desse tipo de worm é que ele não requer ação do usuário para se espalhar. Esse tipo de worm geralmente procura vulnerabilidades críticas em softwares em execução em computadores em rede. Para infectar os computadores na rede, o worm envia um pacote de rede especialmente criado (chamado exploit) e, como resultado, o código do worm (ou parte do código do worm) penetra no computador da vítima e é ativado. Às vezes, o pacote de rede contém apenas a parte do código do worm que baixará e executará um arquivo contendo o módulo principal do worm. Alguns worms de rede usam vários exploits simultaneamente para se espalhar, aumentando assim a velocidade com que eles encontram vítimas.Plataforma: Linux
O Linux é uma família de sistemas operacionais influenciados pelo UNIX com base no kernel do Linux e nas ferramentas GNU.Descrição
Detalhes técnicos
Este é o worm que infecta os sistemas Linux. O worm foi descoberto na primavera de 1998. Ele se espalha de sistema para sistema usando uma violação de segurança do Linux (chamada de "buffer overrun" breach) que permite fazer upload para o sistema remoto e executar um pequeno código que faz download e ativa o principal componente do worm.
O worm usa uma violação de segurança no pacote de programas BIND (Berkeley Internet Name Domain), que é distribuído em muitos pacotes populares do UNIX e fornece serviço de nomes para a Internet.
O próprio verme
Este é um worm multi-componente que consiste em 8 arquivos. Esses arquivos são programas de script e arquivos executáveis. Os programas de script são arquivos ".sh" que são executados pelo shell de comando do Linux. Os arquivos executáveis são executáveis Linux ELF padrão.
Os principais componentes do worm são os arquivos de script ".sh" que são executados como hosts e, em seguida, executam os arquivos restantes (arquivos ".sh" adicionais e executáveis ELF) para executar as ações necessárias.
A lista de componentes é a seguinte:
ADMw0rm Hnamed gimmeIP remotecmd gimmeRAND scanco teste incremental
Espalhando
A propagação (infectando uma máquina Linux remota) é feita pelo ataque "buffer overrun". Esse ataque é executado como um pacote especial que é enviado para uma máquina sendo atacada. O pacote tem um bloco de dados especialmente preparados. Esse bloco de dados do pacote é então executado como um código nessa máquina. Esse código abre uma conexão com a máquina infectada, obtém o restante do código do worm e o ativa. Nesse momento a máquina está infectada e começa a espalhar o verme ainda mais.
O worm é transferido de uma máquina para máquina como um arquivo "tgz" (arquivo UNIX padrão) com o nome "ADMw0rm.tgz", com 8 componentes de worm dentro. Ao infectar uma nova máquina, o worm descompacta o pacote e executa o arquivo principal "ADMw0rm", que ativará outros componentes do worm.
Detalhes
Para obter endereços IP de máquinas remotas para atacá-los, o worm verifica a rede global disponível para endereços IP com computadores e servidores instalados no DNS.
Para atacar o sistema remoto, o worm usa vulnerabilidades de segurança no Linux demon: "named".
Para fazer o upload e ativar sua cópia na máquina remota, o código do worm "buffer sature" contém as instruções que mudam para privilégios "root", executa o shell de comando e segue os comandos:
- roda o deamon "/ usr / sbin / named"
- cria o diretório para baixar o arquivo worm "tgz", o nome do diretório é "/tmp/.w0rm0r"
- executa o "ftp" (programa padrão do Linux) que baixa o arquivo "tgz" do worm da máquina host (a máquina da qual o worm está se espalhando)
- Desempacota todos os componentes do worm do arquivo "tgz"
- executa o componente de inicialização do worm: o arquivo "ADMw0rm"
Misc.
O worm tem várias cargas úteis e outras rotinas não relacionadas à infecção.
Antes de mais nada, ele encontra na máquina local a partir do diretório raiz todos os arquivos "index.html" (páginas iniciais dos servidores Web) e os substitui pelo seu próprio arquivo "index.html" que contém o texto:
O ADM Inet w0rm está aqui!
O worm apaga o arquivo "/etc/hosts.deny". Esse arquivo contém a lista de hosts (endereços e / ou nomes Inet) que são negados para acessar este sistema (no caso do chamado TCP wrapper ser usado). Como resultado, qualquer uma das máquinas restritas pode acessar o sistema afetado.
Quando um novo sistema é infectado, o worm envia mensagens de "notificação" para o endereço de e-mail "admsmb@hotmail.com".
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com