ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Net-Worm.Linux.Ramen

Classe Net-Worm
Plataforma Linux
Descrição

Detalhes técnicos

Este é o primeiro worm conhecido que infecta os sistemas RedHat Linux. O worm foi descoberto em meados de janeiro de 2001. O worm se espalha de sistema para sistema usando uma violação de segurança RedHat (a chamada violação de "buffer overrun") que permite o upload para um sistema remoto e a execução de um pequeno trecho. código lá que então baixa e ativa o componente principal do worm.

O worm não foi testado no VirusLab, portanto, todas as informações abaixo devem ser lidas como "o worm poderia funcionar, se realmente funcionar". Também não temos relatórios confirmados sobre servidores infectados de nossos clientes.

O worm usa três violações de segurança nas versões 6.2 e 7.0 do RedHat, essas violações foram descobertas no verão do outono de 2000, pelo menos três meses antes da descoberta do worm.

O worm também contém rotinas que pretendem atacar as máquinas FreeBSD e SuSE, mas estas rotinas não são ativadas, nem usadas no código do worm.

O próprio verme

Este é um worm multi-componente que consiste em 26 arquivos com cerca de 300K de comprimento total. Esses arquivos são programas de script e arquivos executáveis. Os programas de script são arquivos ".sh" que são executados por um shell de comando do Linux (como os arquivos DOS BAT e os arquivos Windows CMD). Os arquivos executáveis ​​são executáveis ​​Linux ELF padrão.

Os principais componentes do worm são os arquivos de script ".sh" que são executados como hosts e, em seguida, executam o restante dos arquivos (arquivos ".sh" adicionais e executáveis ​​ELF) para executar as ações necessárias.

A lista de componentes aparece da seguinte maneira:


 asp hackl.sh randb62 start62.sh wh.sh
 asp62 hackw.sh randb7 start7.sh wu62
 asp7 index.html s62 synscan62
 bd62.sh l62 s7 synscan7
 bd7.sh l7 scan.sh w62
 getip.sh lh.sh start.sh w7
 

Os componentes "62" são ativados em sistemas RedHat 6.2, os componentes "7" são ativados no RedHat 7.0. O arquivo "wu62" não é usado.

Espalhando

A propagação (infectando uma máquina Linux remota) é feita por um ataque "buffer overrun". Este ataque é executado como um pacote especial que é enviado para uma máquina sendo atacada. O pacote tem um bloco de dados especialmente preparados. Esse bloco de dados de pacote é então executado como um código nessa máquina. Esse código abre uma conexão com uma máquina infectada, obtém o restante do código do worm e o ativa. Neste momento, a máquina está infectada e começa a espalhar o worm ainda mais.

O worm é transferido de máquina para máquina como um arquivo "tgz" (arquivo UNIX padrão) com um nome "ramen.tgz", com 26 componentes de worm dentro. Ao infectar uma nova máquina, o worm descompacta o pacote e executa o arquivo principal "start.sh" que ativa outros componentes do worm.

Os componentes do worm examinam a rede global para outras máquinas Linux e enviam o worm para lá se o ataque "buffer overrun" for executado com sucesso.

O worm também acrescenta um comando para executar o arquivo ".sh" inicial em um arquivo "/etc/rc.d/rc.sysinit" e, como resultado, os componentes do worm são ativados em cada início de sistema seguido.

O worm também fecha as violações de segurança que foram usadas para infectar o sistema. Assim, uma máquina infectada não pode ser atacada pelo worm duas vezes.

Detalhes

Para obter endereços IP de máquinas remotas para atacá-los, o worm verifica a rede global disponível para endereços IP; ou seja, opera de maneira semelhante aos utilitários padrão "sniffer".

Para atacar um sistema remoto, o worm usa vulnerabilidades de segurança em três demônios do RedHat Linux: "statd", "lpd" e "wu-ftp".

Para carregar e ativar sua cópia em uma máquina remota, o código "saturação do buffer" do worm contém instruções que mudam para privilégios de "root", executa um shell de comando e segue os seguintes comandos:

  • cria um diretório para baixar o arquivo worm "tgz", o nome do diretório é "/usr/src/.poop"
  • exporta uma variável "TERM = vt100" que é necessária para a próxima etapa
  • roda "lynx" (simplesmente browser WWW) que baixa um arquivo "tgz" de um computador host (a máquina a partir da qual o worm está se espalhando)
  • Descompacta todos os componentes do worm de um arquivo "tgz"
  • executa o componente de inicialização do worm: o arquivo "start.sh"

Para enviar um arquivo "ramen.tgz", o worm executa um servidor adicional "asp" que envia o arquivo "tgz" do worm por solicitação de um componente "buffer overrun" do worm.

Misc.

O worm tem várias cargas úteis e outras rotinas não infecciosas.

Primeiro de tudo, ele encontra todos os arquivos "index.html" (as páginas iniciais de um servidor Web) em uma máquina local a partir do diretório raiz e os substitui pelo seu próprio arquivo "index.html" que contém o seguinte texto:

RameN Crew Hackers looooooooooooooooove macarrão. <Sup> TM </ sup>

O worm apaga o arquivo "/etc/hosts.deny". Este arquivo contém uma lista de hosts (endereços e / ou nomes da Internet) aos quais é negado acesso a este sistema (no caso de um chamado TCP wrapper ser usado). Como resultado, qualquer uma das máquinas restritas pode acessar um sistema afetado.

Quando um novo sistema é infectado, o worm envia mensagens de "notificação" para três endereços de e-mail:

  1. o endereço de apenas a máquina infectada
  2. gb31337@hotmail.com
  3. gb31337@yahoo.com

A mensagem Assunto é o endereço IP da máquina infectada, o corpo da mensagem contém o texto:

Coma seu Ramen!


Link para o original