Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é o worm que infecta os sistemas Linux. O worm foi descoberto na primavera de 1998. Ele se espalha de sistema para sistema usando uma violação de segurança do Linux (chamada de "buffer overrun" breach) que permite fazer upload para o sistema remoto e executar um pequeno código que faz download e ativa o principal componente do worm.

O worm usa uma violação de segurança no pacote de programas BIND (Berkeley Internet Name Domain), que é distribuído em muitos pacotes populares do UNIX e fornece serviço de nomes para a Internet.

O próprio verme

Este é um worm multi-componente que consiste em 8 arquivos. Esses arquivos são programas de script e arquivos executáveis. Os programas de script são arquivos ".sh" que são executados pelo shell de comando do Linux. Os arquivos executáveis são executáveis Linux ELF padrão.

Os principais componentes do worm são os arquivos de script ".sh" que são executados como hosts e, em seguida, executam os arquivos restantes (arquivos ".sh" adicionais e executáveis ELF) para executar as ações necessárias.

A lista de componentes é a seguinte:




 ADMw0rm Hnamed



 gimmeIP remotecmd



 gimmeRAND scanco



 teste incremental

Espalhando

A propagação (infectando uma máquina Linux remota) é feita pelo ataque "buffer overrun". Esse ataque é executado como um pacote especial que é enviado para uma máquina sendo atacada. O pacote tem um bloco de dados especialmente preparados. Esse bloco de dados do pacote é então executado como um código nessa máquina. Esse código abre uma conexão com a máquina infectada, obtém o restante do código do worm e o ativa. Nesse momento a máquina está infectada e começa a espalhar o verme ainda mais.

O worm é transferido de uma máquina para máquina como um arquivo "tgz" (arquivo UNIX padrão) com o nome "ADMw0rm.tgz", com 8 componentes de worm dentro. Ao infectar uma nova máquina, o worm descompacta o pacote e executa o arquivo principal "ADMw0rm", que ativará outros componentes do worm.

Detalhes

Para obter endereços IP de máquinas remotas para atacá-los, o worm verifica a rede global disponível para endereços IP com computadores e servidores instalados no DNS.

Para atacar o sistema remoto, o worm usa vulnerabilidades de segurança no Linux demon: "named".

Para fazer o upload e ativar sua cópia na máquina remota, o código do worm "buffer sature" contém as instruções que mudam para privilégios "root", executa o shell de comando e segue os comandos:

roda o deamon "/ usr / sbin / named"
cria o diretório para baixar o arquivo worm "tgz", o nome do diretório é "/tmp/.w0rm0r"
executa o "ftp" (programa padrão do Linux) que baixa o arquivo "tgz" do worm da máquina host (a máquina da qual o worm está se espalhando)
Desempacota todos os componentes do worm do arquivo "tgz"
executa o componente de inicialização do worm: o arquivo "ADMw0rm"

Misc.

O worm tem várias cargas úteis e outras rotinas não relacionadas à infecção.

Antes de mais nada, ele encontra na máquina local a partir do diretório raiz todos os arquivos "index.html" (páginas iniciais dos servidores Web) e os substitui pelo seu próprio arquivo "index.html" que contém o texto:

O ADM Inet w0rm está aqui!

O worm apaga o arquivo "/etc/hosts.deny". Esse arquivo contém a lista de hosts (endereços e / ou nomes Inet) que são negados para acessar este sistema (no caso do chamado TCP wrapper ser usado). Como resultado, qualquer uma das máquinas restritas pode acessar o sistema afetado.

Quando um novo sistema é infectado, o worm envia mensagens de "notificação" para o endereço de e-mail "admsmb@hotmail.com".

Link para o original

Classe	Net-Worm
Plataforma	Linux
Descrição	Detalhes técnicos Este é o worm que infecta os sistemas Linux. O worm foi descoberto na primavera de 1998. Ele se espalha de sistema para sistema usando uma violação de segurança do Linux (chamada de "buffer overrun" breach) que permite fazer upload para o sistema remoto e executar um pequeno código que faz download e ativa o principal componente do worm. O worm usa uma violação de segurança no pacote de programas BIND (Berkeley Internet Name Domain), que é distribuído em muitos pacotes populares do UNIX e fornece serviço de nomes para a Internet. O próprio verme Este é um worm multi-componente que consiste em 8 arquivos. Esses arquivos são programas de script e arquivos executáveis. Os programas de script são arquivos ".sh" que são executados pelo shell de comando do Linux. Os arquivos executáveis são executáveis Linux ELF padrão. Os principais componentes do worm são os arquivos de script ".sh" que são executados como hosts e, em seguida, executam os arquivos restantes (arquivos ".sh" adicionais e executáveis ELF) para executar as ações necessárias. A lista de componentes é a seguinte: ADMw0rm Hnamed gimmeIP remotecmd gimmeRAND scanco teste incremental Espalhando A propagação (infectando uma máquina Linux remota) é feita pelo ataque "buffer overrun". Esse ataque é executado como um pacote especial que é enviado para uma máquina sendo atacada. O pacote tem um bloco de dados especialmente preparados. Esse bloco de dados do pacote é então executado como um código nessa máquina. Esse código abre uma conexão com a máquina infectada, obtém o restante do código do worm e o ativa. Nesse momento a máquina está infectada e começa a espalhar o verme ainda mais. O worm é transferido de uma máquina para máquina como um arquivo "tgz" (arquivo UNIX padrão) com o nome "ADMw0rm.tgz", com 8 componentes de worm dentro. Ao infectar uma nova máquina, o worm descompacta o pacote e executa o arquivo principal "ADMw0rm", que ativará outros componentes do worm. Detalhes Para obter endereços IP de máquinas remotas para atacá-los, o worm verifica a rede global disponível para endereços IP com computadores e servidores instalados no DNS. Para atacar o sistema remoto, o worm usa vulnerabilidades de segurança no Linux demon: "named". Para fazer o upload e ativar sua cópia na máquina remota, o código do worm "buffer sature" contém as instruções que mudam para privilégios "root", executa o shell de comando e segue os comandos: roda o deamon "/ usr / sbin / named" cria o diretório para baixar o arquivo worm "tgz", o nome do diretório é "/tmp/.w0rm0r" executa o "ftp" (programa padrão do Linux) que baixa o arquivo "tgz" do worm da máquina host (a máquina da qual o worm está se espalhando) Desempacota todos os componentes do worm do arquivo "tgz" executa o componente de inicialização do worm: o arquivo "ADMw0rm" Misc. O worm tem várias cargas úteis e outras rotinas não relacionadas à infecção. Antes de mais nada, ele encontra na máquina local a partir do diretório raiz todos os arquivos "index.html" (páginas iniciais dos servidores Web) e os substitui pelo seu próprio arquivo "index.html" que contém o texto: O ADM Inet w0rm está aqui! O worm apaga o arquivo "/etc/hosts.deny". Esse arquivo contém a lista de hosts (endereços e / ou nomes Inet) que são negados para acessar este sistema (no caso do chamado TCP wrapper ser usado). Como resultado, qualquer uma das máquinas restritas pode acessar o sistema afetado. Quando um novo sistema é infectado, o worm envia mensagens de "notificação" para o endereço de e-mail "admsmb@hotmail.com".
	Link para o original

Net-Worm.Linux.Adm

Detalhes técnicos

O próprio verme

Espalhando

Detalhes

Misc.