本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Net-Worm.Linux.Adm

クラス Net-Worm
プラットフォーム Linux
説明

技術的な詳細

これはLinuxシステムに感染するワームです。このワームは1998年の春に発見されました。リモートシステムにアップロードして短いコードを実行してダウンロードして有効にするLinuxセキュリティ違反(いわゆる "バッファーオーバーラン"違反)を使用することで、主要なワームコンポーネント。

ワームはプログラムパッケージBIND(Berkeley Internet Name Domain)のセキュリティ違反を利用しています.BIND(Berkeley Internet Name Domain)は、多くの一般的なUNIXパッケージに含まれており、インターネットにネームサービスを提供します。

ワーム自体

これは8つのファイルで構成されるマルチコンポーネントワームです。これらのファイルは、スクリプトプログラムと実行可能ファイルです。スクリプトプログラムは、Linuxコマンドシェルによって実行される ".sh"ファイルです。実行可能ファイルは標準のLinux ELF実行ファイルです。

ワームの主なコンポーネントは、ホストとして実行されるスクリプト ".sh"ファイルで、残りのファイル(追加の ".sh"ファイルとELF実行ファイル)を実行して必要な処理を実行します。

コンポーネントのリストは次のようになります。




 ADMw0rm Hnamed



 gimmeIP remotecmd



 gimmeRAND scanco



 インクリメンタルテスト



広がる

拡散(リモートLinuxマシンへの感染)は、 "バッファーオーバーラン"攻撃によって行われます。その攻撃は、攻撃対象のマシンに送信される特別なパケットとして実行されます。パケットには、特別に準備されたデータブロックがあります。そのパケットのデータブロックは、そのマシン上のコードとして実行されます。このコードは、感染マシンへの接続を開き、残りのワームコードを取得して起動します。その瞬間にマシンは感染し、さらにワームを広げ始めます。

このワームは、8つのワームコンポーネントが内部にある "ADMw0rm.tgz"という名前の "tgz"アーカイブ(標準UNIXアーカイブ)としてマシンからマシンに転送されます。ワームは、新しいマシンを感染させてそこにパッケージを展開し、メインの "ADMw0rm"ファイルを実行して、他のワームのコンポーネントを起動します。

詳細

ワームは、リモートマシンのIPアドレスを取得するために、利用可能なグローバルネットワーク上で、コンピュータとDNSサーバーがインストールされたIPアドレスをスキャンします。

ワームはリモートシステムを攻撃するために、Linuxデーモンのセキュリティ脆弱性を利用しています。

ワームの "バッファオーバーラン"コードには、リモートマシン上でそのコピーをアップロードして有効にするために、 "root"特権に切り替え、コマンドシェルを実行して次のコマンドを実行する命令が含まれています。

  • デーモン "/ usr / sbin / named"を実行します。
  • ワーム "tgz"ファイルをダウンロードするディレクトリを作成し、ディレクトリ名は "/tmp/.w0rm0r"
  • ホストマシン(ワームが拡散しているマシン)からワーム "tgz"ファイルをダウンロードする "ftp"(standart Linuxプログラム)を実行します。
  • すべてのワームコンポーネントを "tgz"アーカイブから解凍する
  • ワームの起動コンポーネントを実行する: "ADMw0rm"ファイル

その他

ワームには複数のペイロードとその他の感染していないルーチンがあります。

まず、ルートディレクトリからすべての "index.html"ファイル(Webサーバーがページを開始)をローカルマシンから検索し、テキストを含む独自の "index.html"ファイルに置き換えます。

ADM Inet w0rmはここにあります!

ワームは "/etc/hosts.deny"ファイルを削除します。このファイルには、このシステムにアクセスすることが拒否されたホスト(アドレスやInet名)のリストが含まれています(いわゆるTCPラッパーが使用されている場合)。結果として、制限されたマシンのいずれかが影響を受けるシステムにアクセスできます。

新しいシステムが感染すると、ワームは電子メールアドレス「admsmb@hotmail.com」に「通知」メッセージを送信します。


オリジナルへのリンク