ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Net-Worm.Linux.Adm

Classe Net-Worm
Plataforma Linux
Descrição

Detalhes técnicos

Este é o worm que infecta os sistemas Linux. O worm foi descoberto na primavera de 1998. Ele se espalha de sistema para sistema usando uma violação de segurança do Linux (chamada de "buffer overrun" breach) que permite fazer upload para o sistema remoto e executar um pequeno código que faz download e ativa o principal componente do worm.

O worm usa uma violação de segurança no pacote de programas BIND (Berkeley Internet Name Domain), que é distribuído em muitos pacotes populares do UNIX e fornece serviço de nomes para a Internet.

O próprio verme

Este é um worm multi-componente que consiste em 8 arquivos. Esses arquivos são programas de script e arquivos executáveis. Os programas de script são arquivos ".sh" que são executados pelo shell de comando do Linux. Os arquivos executáveis ​​são executáveis ​​Linux ELF padrão.

Os principais componentes do worm são os arquivos de script ".sh" que são executados como hosts e, em seguida, executam os arquivos restantes (arquivos ".sh" adicionais e executáveis ​​ELF) para executar as ações necessárias.

A lista de componentes é a seguinte:




 ADMw0rm Hnamed



 gimmeIP remotecmd



 gimmeRAND scanco



 teste incremental



Espalhando

A propagação (infectando uma máquina Linux remota) é feita pelo ataque "buffer overrun". Esse ataque é executado como um pacote especial que é enviado para uma máquina sendo atacada. O pacote tem um bloco de dados especialmente preparados. Esse bloco de dados do pacote é então executado como um código nessa máquina. Esse código abre uma conexão com a máquina infectada, obtém o restante do código do worm e o ativa. Nesse momento a máquina está infectada e começa a espalhar o verme ainda mais.

O worm é transferido de uma máquina para máquina como um arquivo "tgz" (arquivo UNIX padrão) com o nome "ADMw0rm.tgz", com 8 componentes de worm dentro. Ao infectar uma nova máquina, o worm descompacta o pacote e executa o arquivo principal "ADMw0rm", que ativará outros componentes do worm.

Detalhes

Para obter endereços IP de máquinas remotas para atacá-los, o worm verifica a rede global disponível para endereços IP com computadores e servidores instalados no DNS.

Para atacar o sistema remoto, o worm usa vulnerabilidades de segurança no Linux demon: "named".

Para fazer o upload e ativar sua cópia na máquina remota, o código do worm "buffer sature" contém as instruções que mudam para privilégios "root", executa o shell de comando e segue os comandos:

  • roda o deamon "/ usr / sbin / named"
  • cria o diretório para baixar o arquivo worm "tgz", o nome do diretório é "/tmp/.w0rm0r"
  • executa o "ftp" (programa padrão do Linux) que baixa o arquivo "tgz" do worm da máquina host (a máquina da qual o worm está se espalhando)
  • Desempacota todos os componentes do worm do arquivo "tgz"
  • executa o componente de inicialização do worm: o arquivo "ADMw0rm"

Misc.

O worm tem várias cargas úteis e outras rotinas não relacionadas à infecção.

Antes de mais nada, ele encontra na máquina local a partir do diretório raiz todos os arquivos "index.html" (páginas iniciais dos servidores Web) e os substitui pelo seu próprio arquivo "index.html" que contém o texto:

O ADM Inet w0rm está aqui!

O worm apaga o arquivo "/etc/hosts.deny". Esse arquivo contém a lista de hosts (endereços e / ou nomes Inet) que são negados para acessar este sistema (no caso do chamado TCP wrapper ser usado). Como resultado, qualquer uma das máquinas restritas pode acessar o sistema afetado.

Quando um novo sistema é infectado, o worm envia mensagens de "notificação" para o endereço de e-mail "admsmb@hotmail.com".


Link para o original