Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Net-Worm.Linux.cheese

Třída Net-Worm
Platfoma Linux
Popis

Technické údaje

Text napsal Costin Raiu, Kaspersky, Rumunsko

Jedná se o internetový červ, který se replikuje mezi systémy, které byly předtím hackovány "červeným" Linuxovým červem a ne červy "lev" nebo "adore", jak je uvedeno v jiných různých popisech, nebo samotný červ. (viz níže uvedený text) "Sýr" bude také fungovat jako "bezpečnostní oprava", která odstraní zadní stránky přidané předchozími útoky, ale neodstraní nebo nezapadne zranitelnosti používané k hackování příslušných systémů; Stroje tak budou i nadále zranitelné vůči původnímu útoku (útokům), který je používá k jejich ohrožení. Červ obsahuje následující text:

> # odstraňuje rootshells spuštěné z /etc/inetd.conf
> po infekci l10n … (aby se zabránilo zbytečným haqz0rs
> # oškubnutí vašeho boxu ještě horší, než je tomu již)
> # Tento kód nebyl napsán se škodlivým úmyslem.
> # Infact, bylo napsáno, aby se pokusil udělat něco dobrého.

Nezáleží na tom, jak dobrý byl původní záměr autora, "sýr" zůstává kusem replikačního "malwaru", který napájí zdroje, jako je CPU, paměť, diskové prostory nebo internetová šířka pásma z infikovaných systémů; takže zůstává "špatnou věcí".

Technické údaje

Červ se skládá ze tří programových souborů s názvem "sýr", "go" a "psm". "go" je "vstupní bod" červa, který v podstatě provádí hlavní těleso červů, "sýr", tak, že je imunní vůči signálům, které by se mohly pokusit zastavit. "sýr", 2kylobytový dlouhý Perlův skript, je hlavní částí červa, který je zodpovědný za replikaci.

Při spuštění bude nejprve skenovat "/etc/inetd.conf" pro služby, které se pokoušejí spustit "/ bin / sh", většinou zadní vrátka root-shell a odstranit je. Je zřejmé, že pokud byl do novějšího typu "/etc/xinetd.conf" přidán kořenový shell, červ by si toho nevšiml a nechal ho nedotčený.

Dále vytvoří náhodnou 16bitovou IP základnu, například "a" a "b" v "abxy", pak použije externí program Linux ELF pro skenování příslušné třídy IP pro hostitele, kteří naslouchají na portu 10008 Obvykle se jedná o hostitele, které byly předtím hackovány červem "Ramen" , hostitele, které spouštějí otevřený kořenový shell v příslušném portu.

Takže, když je nalezen takový hostitel, bude červ provádět malý instalační skript na vzdáleném hostiteli, který vytvoří adresář s názvem "/tmp/.cheese" a zahájí instanci oblíbeného prohlížeče Lynx ke stažení kopie červa z infikovaného systému. Červ samotný naslouchá pokusu o připojení na zdrojový systém a předá kopii samotného šifrovaného kódu UUE vzdálenému volajícímu. Instalační skript běžící na cílovém systému bude dekódovat tělo červa, rozbalit jej v adresáři "/tmp/.cheese" a nakonec spustit skript "go", aby spustil červ, který dále propaguje infekci.


Odkaz na originál