Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これはLinuxシステムに感染するワームです。このワームは1998年の春に発見されました。リモートシステムにアップロードして短いコードを実行してダウンロードして有効にするLinuxセキュリティ違反（いわゆる "バッファーオーバーラン"違反）を使用することで、主要なワームコンポーネント。

ワームはプログラムパッケージBIND（Berkeley Internet Name Domain）のセキュリティ違反を利用しています.BIND（Berkeley Internet Name Domain）は、多くの一般的なUNIXパッケージに含まれており、インターネットにネームサービスを提供します。

ワーム自体

これは8つのファイルで構成されるマルチコンポーネントワームです。これらのファイルは、スクリプトプログラムと実行可能ファイルです。スクリプトプログラムは、Linuxコマンドシェルによって実行される ".sh"ファイルです。実行可能ファイルは標準のLinux ELF実行ファイルです。

ワームの主なコンポーネントは、ホストとして実行されるスクリプト ".sh"ファイルで、残りのファイル（追加の ".sh"ファイルとELF実行ファイル）を実行して必要な処理を実行します。

コンポーネントのリストは次のようになります。

 ADMw0rm Hnamed gimmeIP remotecmd gimmeRAND scanco インクリメンタルテスト

広がる

拡散（リモートLinuxマシンへの感染）は、 "バッファーオーバーラン"攻撃によって行われます。その攻撃は、攻撃対象のマシンに送信される特別なパケットとして実行されます。パケットには、特別に準備されたデータブロックがあります。そのパケットのデータブロックは、そのマシン上のコードとして実行されます。このコードは、感染マシンへの接続を開き、残りのワームコードを取得して起動します。その瞬間にマシンは感染し、さらにワームを広げ始めます。

このワームは、8つのワームコンポーネントが内部にある "ADMw0rm.tgz"という名前の "tgz"アーカイブ（標準UNIXアーカイブ）としてマシンからマシンに転送されます。ワームは、新しいマシンを感染させてそこにパッケージを展開し、メインの "ADMw0rm"ファイルを実行して、他のワームのコンポーネントを起動します。

詳細

ワームは、リモートマシンのIPアドレスを取得するために、利用可能なグローバルネットワーク上で、コンピュータとDNSサーバーがインストールされたIPアドレスをスキャンします。

ワームはリモートシステムを攻撃するために、Linuxデーモンのセキュリティ脆弱性を利用しています。

ワームの "バッファオーバーラン"コードには、リモートマシン上でそのコピーをアップロードして有効にするために、 "root"特権に切り替え、コマンドシェルを実行して次のコマンドを実行する命令が含まれています。

デーモン "/ usr / sbin / named"を実行します。
ワーム "tgz"ファイルをダウンロードするディレクトリを作成し、ディレクトリ名は "/tmp/.w0rm0r"
ホストマシン（ワームが拡散しているマシン）からワーム "tgz"ファイルをダウンロードする "ftp"（standart Linuxプログラム）を実行します。
すべてのワームコンポーネントを "tgz"アーカイブから解凍する
ワームの起動コンポーネントを実行する： "ADMw0rm"ファイル

その他

ワームには複数のペイロードとその他の感染していないルーチンがあります。

まず、ルートディレクトリからすべての "index.html"ファイル（Webサーバーがページを開始）をローカルマシンから検索し、テキストを含む独自の "index.html"ファイルに置き換えます。

ADM Inet w0rmはここにあります！

ワームは "/etc/hosts.deny"ファイルを削除します。このファイルには、このシステムにアクセスすることが拒否されたホスト（アドレスやInet名）のリストが含まれています（いわゆるTCPラッパーが使用されている場合）。結果として、制限されたマシンのいずれかが影響を受けるシステムにアクセスできます。

新しいシステムが感染すると、ワームは電子メールアドレス「admsmb@hotmail.com」に「通知」メッセージを送信します。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Net-Worm
プラットフォーム	Linux
説明	技術的な詳細これはLinuxシステムに感染するワームです。このワームは1998年の春に発見されました。リモートシステムにアップロードして短いコードを実行してダウンロードして有効にするLinuxセキュリティ違反（いわゆる "バッファーオーバーラン"違反）を使用することで、主要なワームコンポーネント。ワームはプログラムパッケージBIND（Berkeley Internet Name Domain）のセキュリティ違反を利用しています.BIND（Berkeley Internet Name Domain）は、多くの一般的なUNIXパッケージに含まれており、インターネットにネームサービスを提供します。ワーム自体これは8つのファイルで構成されるマルチコンポーネントワームです。これらのファイルは、スクリプトプログラムと実行可能ファイルです。スクリプトプログラムは、Linuxコマンドシェルによって実行される ".sh"ファイルです。実行可能ファイルは標準のLinux ELF実行ファイルです。ワームの主なコンポーネントは、ホストとして実行されるスクリプト ".sh"ファイルで、残りのファイル（追加の ".sh"ファイルとELF実行ファイル）を実行して必要な処理を実行します。コンポーネントのリストは次のようになります。 ADMw0rm Hnamed gimmeIP remotecmd gimmeRAND scanco インクリメンタルテスト広がる拡散（リモートLinuxマシンへの感染）は、 "バッファーオーバーラン"攻撃によって行われます。その攻撃は、攻撃対象のマシンに送信される特別なパケットとして実行されます。パケットには、特別に準備されたデータブロックがあります。そのパケットのデータブロックは、そのマシン上のコードとして実行されます。このコードは、感染マシンへの接続を開き、残りのワームコードを取得して起動します。その瞬間にマシンは感染し、さらにワームを広げ始めます。このワームは、8つのワームコンポーネントが内部にある "ADMw0rm.tgz"という名前の "tgz"アーカイブ（標準UNIXアーカイブ）としてマシンからマシンに転送されます。ワームは、新しいマシンを感染させてそこにパッケージを展開し、メインの "ADMw0rm"ファイルを実行して、他のワームのコンポーネントを起動します。詳細ワームは、リモートマシンのIPアドレスを取得するために、利用可能なグローバルネットワーク上で、コンピュータとDNSサーバーがインストールされたIPアドレスをスキャンします。ワームはリモートシステムを攻撃するために、Linuxデーモンのセキュリティ脆弱性を利用しています。ワームの "バッファオーバーラン"コードには、リモートマシン上でそのコピーをアップロードして有効にするために、 "root"特権に切り替え、コマンドシェルを実行して次のコマンドを実行する命令が含まれています。デーモン "/ usr / sbin / named"を実行します。ワーム "tgz"ファイルをダウンロードするディレクトリを作成し、ディレクトリ名は "/tmp/.w0rm0r" ホストマシン（ワームが拡散しているマシン）からワーム "tgz"ファイルをダウンロードする "ftp"（standart Linuxプログラム）を実行します。すべてのワームコンポーネントを "tgz"アーカイブから解凍するワームの起動コンポーネントを実行する： "ADMw0rm"ファイルその他ワームには複数のペイロードとその他の感染していないルーチンがあります。まず、ルートディレクトリからすべての "index.html"ファイル（Webサーバーがページを開始）をローカルマシンから検索し、テキストを含む独自の "index.html"ファイルに置き換えます。 ADM Inet w0rmはここにあります！ワームは "/etc/hosts.deny"ファイルを削除します。このファイルには、このシステムにアクセスすることが拒否されたホスト（アドレスやInet名）のリストが含まれています（いわゆるTCPラッパーが使用されている場合）。結果として、制限されたマシンのいずれかが影響を受けるシステムにアクセスできます。新しいシステムが感染すると、ワームは電子メールアドレス「admsmb@hotmail.com」に「通知」メッセージを送信します。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Net-Worm.Linux.Adm

技術的な詳細

ワーム自体

広がる

詳細

その他