Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Net-Worm.Linux.Adm

Třída Net-Worm
Platfoma Linux
Popis

Technické údaje

To je červ, který infikuje systémy Linux. Červ byl odhalen na jaře 1998. Rozšiřuje se ze systému na systém pomocí porušení zabezpečení systému Linux (tzv. "Překročení vyrovnávací paměti"), který umožňuje odesílání do vzdáleného systému a spustit tam krátký kód, který se pak stáhne a aktivuje hlavní komponent červa.

Červ využívá bezpečnostní porušení v programovém balíčku BIND (Berkeley Internet Name Domain), který je distribuován v mnoha populárních systémech UNIX a poskytuje jmenovku pro internet.

Červ sám

Jedná se o vícesložkový červ, který obsahuje 8 souborů. Tyto soubory jsou programy skriptu a spustitelné soubory. Programy skriptu jsou soubory ".sh", které jsou spuštěny příkazem shell Linux. Spouštěcí soubory jsou standardní spustitelné soubory Linux ELF.

Hlavní součásti červu jsou skripty ".sh", které jsou spouštěny jako hostitele, a potom spustit ostatní soubory (další soubory ".sh" a spustitelné soubory ELF), aby provedly potřebné akce.

Seznam komponent vypadá následovně:




 ADMw0rm Hned



 gimmeIP remotecmd



 gimmeRAND scanco



 přírůstkový test



Šíření

Rozšiřování (infikování vzdáleného počítače Linux) probíhá útokem "překročení vyrovnávací paměti". Tento útok je prováděn jako speciální balíček, který je odeslán na napadený počítač. Paket obsahuje blok speciálně připravených dat. Tento blok paketových dat je pak proveden jako kód na tomto počítači. Tento kód otevírá spojení s infikovaným počítačem, získává zbytek kódu červu a aktivuje ho. V tom okamžiku je počítač nakažen a začíná šířit červ.

Červ se přenáší ze stroje na stroj jako archiv "tgz" (standardní archiv UNIX) s názvem "ADMw0rm.tgz" se 8 vnitřními součástmi červů. Během infikování nového počítače se červeň rozbalí, že tento balíček obsahuje a spustí hlavní soubor "ADMw0rm", který pak aktivuje další komponenty červů.

Podrobnosti

Chcete-li získat IP adresy vzdálených počítačů a napadnout je, červa kontroluje dostupnou globální síť pro adresy IP s počítači a servery DNS na něm nainstalované.

K útoku na vzdálený systém používá červa slabá místa zabezpečení v démonu Linux: "named".

K odeslání a aktivaci jeho kopie na vzdáleném počítači obsahuje kód "překročení vyrovnávací paměti" červa, který přepíná na oprávnění "root", spouští příkazový shell a řídí příkazy:

  • běží deamon "/ usr / sbin / named"
  • vytvoří adresář ke stažení souboru "tgz", název adresáře je "/tmp/.w0rm0r"
  • běží "ftp" (standardní program Linux), který stahuje soubor červa "tgz" z hostitelského počítače (stroj, ze kterého se červ šíří)
  • rozbalí všechny součásti červů z archivu tgz
  • spouští spouštěcí komponentu červa: soubor "ADMw0rm"

Různé.

Červ má několik užitečných zatížení a jiných neinfekčních rutin.

Nejprve najde na lokálním počítači od kořenového adresáře všechny soubory "index.html" (startovní stránky webových serverů) a nahradí je vlastním "index.html" souborem, který obsahuje text:

ADM Inet w0rm je tady!

Červ odstraní soubor "/etc/hosts.deny". Tento soubor obsahuje seznam hostitelů (adresy a / nebo názvy Inet), kterým je odepřen přístup k tomuto systému (v případě, že se používá takzvaný TCP wrapper). V důsledku toho může některý z omezených počítačů přistupovat k postiženému systému.

Když je nový systém napaden, červa odešle zprávy "oznámení" na e-mailovou adresu "admsmb@hotmail.com".


Odkaz na originál