ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.
Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Classe | Net-Worm |
Plataforma | Linux |
Descrição |
Detalhes técnicosEste é o worm que infecta os sistemas Linux. O worm foi descoberto na primavera de 1998. Ele se espalha de sistema para sistema usando uma violação de segurança do Linux (chamada de "buffer overrun" breach) que permite fazer upload para o sistema remoto e executar um pequeno código que faz download e ativa o principal componente do worm. O worm usa uma violação de segurança no pacote de programas BIND (Berkeley Internet Name Domain), que é distribuído em muitos pacotes populares do UNIX e fornece serviço de nomes para a Internet. O próprio vermeEste é um worm multi-componente que consiste em 8 arquivos. Esses arquivos são programas de script e arquivos executáveis. Os programas de script são arquivos ".sh" que são executados pelo shell de comando do Linux. Os arquivos executáveis são executáveis Linux ELF padrão. Os principais componentes do worm são os arquivos de script ".sh" que são executados como hosts e, em seguida, executam os arquivos restantes (arquivos ".sh" adicionais e executáveis ELF) para executar as ações necessárias. A lista de componentes é a seguinte: ADMw0rm Hnamed gimmeIP remotecmd gimmeRAND scanco teste incremental EspalhandoA propagação (infectando uma máquina Linux remota) é feita pelo ataque "buffer overrun". Esse ataque é executado como um pacote especial que é enviado para uma máquina sendo atacada. O pacote tem um bloco de dados especialmente preparados. Esse bloco de dados do pacote é então executado como um código nessa máquina. Esse código abre uma conexão com a máquina infectada, obtém o restante do código do worm e o ativa. Nesse momento a máquina está infectada e começa a espalhar o verme ainda mais. O worm é transferido de uma máquina para máquina como um arquivo "tgz" (arquivo UNIX padrão) com o nome "ADMw0rm.tgz", com 8 componentes de worm dentro. Ao infectar uma nova máquina, o worm descompacta o pacote e executa o arquivo principal "ADMw0rm", que ativará outros componentes do worm. DetalhesPara obter endereços IP de máquinas remotas para atacá-los, o worm verifica a rede global disponível para endereços IP com computadores e servidores instalados no DNS. Para atacar o sistema remoto, o worm usa vulnerabilidades de segurança no Linux demon: "named". Para fazer o upload e ativar sua cópia na máquina remota, o código do worm "buffer sature" contém as instruções que mudam para privilégios "root", executa o shell de comando e segue os comandos:
Misc.O worm tem várias cargas úteis e outras rotinas não relacionadas à infecção. Antes de mais nada, ele encontra na máquina local a partir do diretório raiz todos os arquivos "index.html" (páginas iniciais dos servidores Web) e os substitui pelo seu próprio arquivo "index.html" que contém o texto:
O worm apaga o arquivo "/etc/hosts.deny". Esse arquivo contém a lista de hosts (endereços e / ou nomes Inet) que são negados para acessar este sistema (no caso do chamado TCP wrapper ser usado). Como resultado, qualquer uma das máquinas restritas pode acessar o sistema afetado. Quando um novo sistema é infectado, o worm envia mensagens de "notificação" para o endereço de e-mail "admsmb@hotmail.com". |
Link para o original |
|