本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Net-Worm.Linux.cheese

クラス Net-Worm
プラットフォーム Linux
説明

技術的な詳細

ルーマニアカスペルスキー研究所Costin Raiu氏が作成したテキスト

これは、他のさまざまな説明やワーム自体に記述されているように、 "Lam" Linuxワームではなく "Lion"や "Adore"ワームではなく、以前にハッキングされたシステム間で複製するインターネットワームです。 (下のテキストを参照) "チーズ"は、以前の攻撃によって追加されたバックドアを削除する "セキュリティパッチ"としても機能しますが、それぞれのシステムをハッキングするために使用された脆弱性を削除したり修正したりすることはありません。したがって、マシンは、それらを侵害するために使用された最初の攻撃に対して脆弱なままです。このワームは以下のテキストを含んでいます:

>#/etc/inetd.confから実行しているルートシェルを削除します
>#110n感染後…(厄介なhaqz0rsを止めるために)
>あなたの箱はすでにそれよりも悪くなっている)
>#このコードは悪意のある意図で書かれていませんでした。
>事実、それは何か良いことをやろうと書かれていました。

「Cheese」は、感染したシステムからCPU、メモリ、ディスク容量、インターネット帯域幅などのリソースを奪う複製可能な「マルウェア」のまま残っています。したがって、「悪いこと」のままです。

技術的な詳細

このワームは、 "cheese"、 "go"、 "psm"という3つのプログラムファイルで構成されています。 "go"はワームの "エントリーポイント"で、主ワームの本体である "チーズ"を実行し、シグナルを阻止するような方法で実行します。 2キロバイトの長さのPerlスクリプトである "チーズ"は、複製の責任者であるワームの主要な部分です。

実行すると、主にルートシェルのバックドアである "/ bin / sh"を実行しようとするサービスに対して "/etc/inetd.conf"をスキャンして削除します。明らかに、ルートシェルが新しいスタイルの "/etc/xinetd.conf"に追加された場合、ワームはそれに気付かず、そのまま残します。

次に、 "abxy"に "a"や "b"のようなランダムな16ビットIPベースを生成し、外部Linux ELFプログラムを使用して、ポート10008でリスンするホストのそれぞれのインターネットIPクラスをスキャンします通常、これらは以前は"Ramen"ワームによってハッキングされたホストで、各ホスト上でオープンしているルートシェルを実行するホストです。

したがって、そのようなホストが見つかると、ワームはリモートホスト上で "/tmp/.cheese"という名前のディレクトリを作成する小さなインストールスクリプトを実行し、一般的なLynxブラウザのインス​​タンスを起動してコピーをダウンロードします感染したシステムからのワームのワーム自体は、ソースシステム上の接続試行をリッスンし、UUEでエンコードされた自身のコピーをリモートの発信者に転送します。ターゲットシステム上で実行されているインストールスクリプトは、ワームの本体を解読し、 "/tmp/.cheese"ディレクトリに展開し、 "go"スクリプトを実行してワームを起動します。


オリジナルへのリンク