Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

To je červ, který infikuje systémy Linux. Červ byl odhalen na jaře 1998. Rozšiřuje se ze systému na systém pomocí porušení zabezpečení systému Linux (tzv. "Překročení vyrovnávací paměti"), který umožňuje odesílání do vzdáleného systému a spustit tam krátký kód, který se pak stáhne a aktivuje hlavní komponent červa.

Červ využívá bezpečnostní porušení v programovém balíčku BIND (Berkeley Internet Name Domain), který je distribuován v mnoha populárních systémech UNIX a poskytuje jmenovku pro internet.

Červ sám

Jedná se o vícesložkový červ, který obsahuje 8 souborů. Tyto soubory jsou programy skriptu a spustitelné soubory. Programy skriptu jsou soubory ".sh", které jsou spuštěny příkazem shell Linux. Spouštěcí soubory jsou standardní spustitelné soubory Linux ELF.

Hlavní součásti červu jsou skripty ".sh", které jsou spouštěny jako hostitele, a potom spustit ostatní soubory (další soubory ".sh" a spustitelné soubory ELF), aby provedly potřebné akce.

Seznam komponent vypadá následovně:




 ADMw0rm Hned



 gimmeIP remotecmd



 gimmeRAND scanco



 přírůstkový test

Šíření

Rozšiřování (infikování vzdáleného počítače Linux) probíhá útokem "překročení vyrovnávací paměti". Tento útok je prováděn jako speciální balíček, který je odeslán na napadený počítač. Paket obsahuje blok speciálně připravených dat. Tento blok paketových dat je pak proveden jako kód na tomto počítači. Tento kód otevírá spojení s infikovaným počítačem, získává zbytek kódu červu a aktivuje ho. V tom okamžiku je počítač nakažen a začíná šířit červ.

Červ se přenáší ze stroje na stroj jako archiv "tgz" (standardní archiv UNIX) s názvem "ADMw0rm.tgz" se 8 vnitřními součástmi červů. Během infikování nového počítače se červeň rozbalí, že tento balíček obsahuje a spustí hlavní soubor "ADMw0rm", který pak aktivuje další komponenty červů.

Podrobnosti

Chcete-li získat IP adresy vzdálených počítačů a napadnout je, červa kontroluje dostupnou globální síť pro adresy IP s počítači a servery DNS na něm nainstalované.

K útoku na vzdálený systém používá červa slabá místa zabezpečení v démonu Linux: "named".

K odeslání a aktivaci jeho kopie na vzdáleném počítači obsahuje kód "překročení vyrovnávací paměti" červa, který přepíná na oprávnění "root", spouští příkazový shell a řídí příkazy:

běží deamon "/ usr / sbin / named"
vytvoří adresář ke stažení souboru "tgz", název adresáře je "/tmp/.w0rm0r"
běží "ftp" (standardní program Linux), který stahuje soubor červa "tgz" z hostitelského počítače (stroj, ze kterého se červ šíří)
rozbalí všechny součásti červů z archivu tgz
spouští spouštěcí komponentu červa: soubor "ADMw0rm"

Různé.

Červ má několik užitečných zatížení a jiných neinfekčních rutin.

Nejprve najde na lokálním počítači od kořenového adresáře všechny soubory "index.html" (startovní stránky webových serverů) a nahradí je vlastním "index.html" souborem, který obsahuje text:

ADM Inet w0rm je tady!

Červ odstraní soubor "/etc/hosts.deny". Tento soubor obsahuje seznam hostitelů (adresy a / nebo názvy Inet), kterým je odepřen přístup k tomuto systému (v případě, že se používá takzvaný TCP wrapper). V důsledku toho může některý z omezených počítačů přistupovat k postiženému systému.

Když je nový systém napaden, červa odešle zprávy "oznámení" na e-mailovou adresu "admsmb@hotmail.com".

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Net-Worm
Platfoma	Linux
Popis	Technické údaje To je červ, který infikuje systémy Linux. Červ byl odhalen na jaře 1998. Rozšiřuje se ze systému na systém pomocí porušení zabezpečení systému Linux (tzv. "Překročení vyrovnávací paměti"), který umožňuje odesílání do vzdáleného systému a spustit tam krátký kód, který se pak stáhne a aktivuje hlavní komponent červa. Červ využívá bezpečnostní porušení v programovém balíčku BIND (Berkeley Internet Name Domain), který je distribuován v mnoha populárních systémech UNIX a poskytuje jmenovku pro internet. Červ sám Jedná se o vícesložkový červ, který obsahuje 8 souborů. Tyto soubory jsou programy skriptu a spustitelné soubory. Programy skriptu jsou soubory ".sh", které jsou spuštěny příkazem shell Linux. Spouštěcí soubory jsou standardní spustitelné soubory Linux ELF. Hlavní součásti červu jsou skripty ".sh", které jsou spouštěny jako hostitele, a potom spustit ostatní soubory (další soubory ".sh" a spustitelné soubory ELF), aby provedly potřebné akce. Seznam komponent vypadá následovně: ADMw0rm Hned gimmeIP remotecmd gimmeRAND scanco přírůstkový test Šíření Rozšiřování (infikování vzdáleného počítače Linux) probíhá útokem "překročení vyrovnávací paměti". Tento útok je prováděn jako speciální balíček, který je odeslán na napadený počítač. Paket obsahuje blok speciálně připravených dat. Tento blok paketových dat je pak proveden jako kód na tomto počítači. Tento kód otevírá spojení s infikovaným počítačem, získává zbytek kódu červu a aktivuje ho. V tom okamžiku je počítač nakažen a začíná šířit červ. Červ se přenáší ze stroje na stroj jako archiv "tgz" (standardní archiv UNIX) s názvem "ADMw0rm.tgz" se 8 vnitřními součástmi červů. Během infikování nového počítače se červeň rozbalí, že tento balíček obsahuje a spustí hlavní soubor "ADMw0rm", který pak aktivuje další komponenty červů. Podrobnosti Chcete-li získat IP adresy vzdálených počítačů a napadnout je, červa kontroluje dostupnou globální síť pro adresy IP s počítači a servery DNS na něm nainstalované. K útoku na vzdálený systém používá červa slabá místa zabezpečení v démonu Linux: "named". K odeslání a aktivaci jeho kopie na vzdáleném počítači obsahuje kód "překročení vyrovnávací paměti" červa, který přepíná na oprávnění "root", spouští příkazový shell a řídí příkazy: běží deamon "/ usr / sbin / named" vytvoří adresář ke stažení souboru "tgz", název adresáře je "/tmp/.w0rm0r" běží "ftp" (standardní program Linux), který stahuje soubor červa "tgz" z hostitelského počítače (stroj, ze kterého se červ šíří) rozbalí všechny součásti červů z archivu tgz spouští spouštěcí komponentu červa: soubor "ADMw0rm" Různé. Červ má několik užitečných zatížení a jiných neinfekčních rutin. Nejprve najde na lokálním počítači od kořenového adresáře všechny soubory "index.html" (startovní stránky webových serverů) a nahradí je vlastním "index.html" souborem, který obsahuje text: ADM Inet w0rm je tady! Červ odstraní soubor "/etc/hosts.deny". Tento soubor obsahuje seznam hostitelů (adresy a / nebo názvy Inet), kterým je odepřen přístup k tomuto systému (v případě, že se používá takzvaný TCP wrapper). V důsledku toho může některý z omezených počítačů přistupovat k postiženému systému. Když je nový systém napaden, červa odešle zprávy "oznámení" na e-mailovou adresu "admsmb@hotmail.com".
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Net-Worm.Linux.Adm

Technické údaje

Červ sám

Šíření

Podrobnosti

Různé.