CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Net-Worm.Linux.Adm

Classe Net-Worm
Plateforme Linux
Description

Détails techniques

C'est le ver qui infecte les systèmes Linux. Le ver a été découvert au printemps 1998. Il se propage d'un système à l'autre en utilisant une faille de sécurité Linux (dite "buffer overrun") qui permet de télécharger sur un système distant et d'y exécuter un court morceau de code qui télécharge et active le composant principal du ver.

Le ver utilise une violation de sécurité dans le package de programme BIND (Berkeley Internet Name Domain), qui est distribué dans de nombreux packages UNIX populaires et fournit un service de noms pour Internet.

Le ver lui-même

C'est un ver multi-composant composé de 8 fichiers. Ces fichiers sont des programmes de script et des fichiers exécutables. Les programmes de script sont des fichiers ".sh" qui sont exécutés par le shell de commande Linux. Les fichiers exécutables sont des exécutables Linux ELF standard.

Les principaux composants du ver sont les fichiers script ".sh" qui sont exécutés en tant qu'hôtes, puis les fichiers restants (fichiers ".sh" supplémentaires et exécutables ELF) pour exécuter les actions nécessaires.

La liste des composants se présente comme suit:




 ADMw0rm Hnamed



 gimmeIP remotecmd



 GimmeRAND Scanco



 test incrémental



Diffusion

L'étalement (infection d'une machine Linux distante) se fait par une attaque "buffer overrun". Cette attaque est effectuée comme un paquet spécial envoyé à une machine attaquée. Le paquet contient un bloc de données spécialement préparées. Ce bloc de données de paquet est ensuite exécuté comme un code sur cette machine. Ce code ouvre une connexion à une machine infectée, récupère le reste du code de ver et l'active. A ce moment, la machine est infectée et commence à propager le ver plus loin.

Le ver est transféré d'une machine à l'autre en tant qu'archive "tgz" (archive UNIX standard) avec le nom "ADMw0rm.tgz", avec 8 composants de ver à l'intérieur. Lors de l'infection d'une nouvelle machine, le ver décompresse ce paquet et lance le fichier principal "ADMw0rm" qui active alors les autres composants du ver.

Détails

Pour que les adresses IP des machines distantes les attaquent, le ver analyse le réseau global disponible pour les adresses IP avec des ordinateurs et des serveurs DNS installés.

Pour attaquer un système distant, le ver utilise des vulnérabilités de sécurité dans le démon Linux: "named".

Pour télécharger et activer sa copie sur une machine distante, le code du ver "buffer overrun" contient les instructions qui basculent vers les privilèges "root", exécute la commande shell et suit les commandes:

  • lance le démon "/ usr / sbin / named"
  • crée le répertoire pour télécharger le fichier "tgz" du ver, le nom du répertoire est "/tmp/.w0rm0r"
  • exécute "ftp" (programme standart Linux) qui télécharge le fichier "tgz" du ver de la machine hôte (machine sur laquelle le ver se propage)
  • décompresse tous les composants de ver de l'archive "tgz"
  • exécute le composant de démarrage du ver: le fichier "ADMw0rm"

Divers

Le ver a plusieurs routines de charge utile et d'autres routines de non-infection.

Tout d'abord, il trouve sur la machine locale à partir du répertoire racine tous les fichiers "index.html" (les serveurs Web démarrent les pages) et les remplace par son propre fichier "index.html" qui contient le texte:

L'ADM Inet w0rm est là!

Le ver supprime le fichier "/etc/hosts.deny". Ce fichier contient la liste des hôtes (adresses et / ou noms Inet) qui sont refusés pour accéder à ce système (dans le cas où ce que l'on appelle le wrapper TCP est utilisé). Par conséquent, toutes les machines restreintes peuvent accéder au système affecté.

Lorsqu'un nouveau système est infecté, le ver envoie des messages de "notification" à l'adresse e-mail "admsmb@hotmail.com".


Lien vers l'original