Net-Worm.Linux.cheese

技術的な詳細

ルーマニアカスペルスキー研究所Costin Raiu氏が作成したテキスト

これは、他のさまざまな説明やワーム自体に記述されているように、 "Lam" Linuxワームではなく "Lion"や "Adore"ワームではなく、以前にハッキングされたシステム間で複製するインターネットワームです。 （下のテキストを参照） "チーズ"は、以前の攻撃によって追加されたバックドアを削除する "セキュリティパッチ"としても機能しますが、それぞれのシステムをハッキングするために使用された脆弱性を削除したり修正したりすることはありません。したがって、マシンは、それらを侵害するために使用された最初の攻撃に対して脆弱なままです。このワームは以下のテキストを含んでいます：

>＃/etc/inetd.confから実行しているルートシェルを削除します
>＃110n感染後…（厄介なhaqz0rsを止めるために）
>あなたの箱はすでにそれよりも悪くなっている）
>＃このコードは悪意のある意図で書かれていませんでした。
>事実、それは何か良いことをやろうと書かれていました。

「Cheese」は、感染したシステムからCPU、メモリ、ディスク容量、インターネット帯域幅などのリソースを奪う複製可能な「マルウェア」のまま残っています。したがって、「悪いこと」のままです。

技術的な詳細

このワームは、 "cheese"、 "go"、 "psm"という3つのプログラムファイルで構成されています。 "go"はワームの "エントリーポイント"で、主ワームの本体である "チーズ"を実行し、シグナルを阻止するような方法で実行します。 2キロバイトの長さのPerlスクリプトである "チーズ"は、複製の責任者であるワームの主要な部分です。

実行すると、主にルートシェルのバックドアである "/ bin / sh"を実行しようとするサービスに対して "/etc/inetd.conf"をスキャンして削除します。明らかに、ルートシェルが新しいスタイルの "/etc/xinetd.conf"に追加された場合、ワームはそれに気付かず、そのまま残します。

次に、 "abxy"に "a"や "b"のようなランダムな16ビットIPベースを生成し、外部Linux ELFプログラムを使用して、ポート10008でリスンするホストのそれぞれのインターネットIPクラスをスキャンします通常、これらは以前は"Ramen"ワームによってハッキングされたホストで、各ホスト上でオープンしているルートシェルを実行するホストです。

したがって、そのようなホストが見つかると、ワームはリモートホスト上で "/tmp/.cheese"という名前のディレクトリを作成する小さなインストールスクリプトを実行し、一般的なLynxブラウザのインス​​タンスを起動してコピーをダウンロードします感染したシステムからのワームのワーム自体は、ソースシステム上の接続試行をリッスンし、UUEでエンコードされた自身のコピーをリモートの発信者に転送します。ターゲットシステム上で実行されているインストールスクリプトは、ワームの本体を解読し、 "/tmp/.cheese"ディレクトリに展開し、 "go"スクリプトを実行してワームを起動します。