CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Net-Worm.Linux.cheese

Classe Net-Worm
Plateforme Linux
Description

Détails techniques

Texte rédigé par Costin Raiu, Kaspersky, Roumanie

C'est un ver Internet qui se réplique entre des systèmes qui ont été précédemment piratés par le ver Linux "Ramen" , et non les vers "Lion" ou "Adore" comme il est indiqué dans d'autres descriptions différentes, ou le ver lui-même. (voir le texte ci-dessous) "Cheese" agira également comme un "patch de sécurité" qui supprime les backdoors ajoutés par les attaques précédentes, mais il ne supprimera pas ou ne corrigera pas les vulnérabilités utilisées pour pirater les systèmes respectifs; ainsi, les machines resteront vulnérables aux attaques initiales utilisées pour les compromettre. Le ver contient le texte suivant:

> # supprime les rootshells de /etc/inetd.conf
> # après une infection l10n … (pour arrêter hakz0rs satanés
> # gâcher votre boîte encore pire que c'est déjà)
> # Ce code n'a pas été écrit avec une intention malveillante.
> # Enfait, il a été écrit pour essayer de faire du bien.

Peu importe la qualité de l'intention initiale de l'auteur, "Cheese" reste un "malware" réplicatif qui consume des ressources telles que le processeur, la mémoire, l'espace disque ou la bande passante Internet des systèmes infectés; ainsi, restant une "mauvaise chose".

Détails techniques

Le ver se compose de trois fichiers de programme nommés "cheese", "go" et "psm". "aller" est le "point d'entrée" du ver, qui exécute le corps principal du ver, le "fromage", de telle manière qu'il le rend insensible aux signaux, qui pourraient tenter de l'arrêter. "cheese", un script Perl de 2Kylobytes, est la partie principale du ver, le responsable de la réplication.

Lorsqu'il est exécuté, il analyse d'abord "/etc/inetd.conf" pour les services qui tentent d'exécuter "/ bin / sh", principalement des backdoors de shell-shell, et les supprime. Évidemment, si un shell racine a été ajouté au nouveau style «/etc/xinetd.conf», le ver ne le remarquera pas et le laissera intact.

Ensuite, il générera une base IP aléatoire de 16 bits, comme "a" et "b" dans "abxy", puis il utilisera un programme ELF Linux externe pour analyser la classe IP Internet respective pour les hôtes écoutant sur le port 10008 Habituellement, ce sont des hôtes qui ont déjà été piratés par le ver "Ramen" , des hôtes qui exécutent un shell racine ouvert sur le port respectif.

Donc, quand un tel hôte est trouvé, le ver va exécuter un petit script d'installation sur l'hôte distant qui créera un répertoire nommé "/tmp/.cheese", et il lancera une instance du célèbre navigateur Lynx pour télécharger une copie du ver du système infecté. Le ver lui-même écoutera la tentative de connexion sur le système source et transmettra une copie codée en UUE de lui-même à l'appelant distant. Le script d'installation exécuté sur le système cible va décoder le corps du ver, le décompresser dans le répertoire "/tmp/.cheese" et finalement exécuter le script "go" pour lancer le ver, ce qui propage l'infection plus loin.


Lien vers l'original