ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Net-Worm.Linux.cheese

Clase Net-Worm
Plataforma Linux
Descripción

Detalles técnicos

Texto escrito por Costin Raiu, Kaspersky, Rumania

Este es un gusano de Internet que se replica entre los sistemas que previamente fueron pirateados por el gusano Linux "Ramen" , y no los gusanos "León" o "Adore" como se afirma en otras descripciones, o el propio gusano. (ver el texto a continuación) "Cheese" también actuará como un "parche de seguridad" que eliminará las puertas traseras agregadas por ataques anteriores, pero no eliminará ni corregirá las vulnerabilidades utilizadas para hackear los respectivos sistemas; por lo tanto, las máquinas seguirán siendo vulnerables a los ataques originales utilizados para comprometerlas. El gusano contiene el siguiente texto:

> # elimina los roothells que se ejecutan desde /etc/inetd.conf
> # después de una infección l10n … (para detener molestos haqz0rs
> # arruinando tu caja aún peor de lo que ya está)
> # Este código no fue escrito con intenciones maliciosas.
> # De hecho, fue escrito para intentar hacer algo bueno.

No importa cuán buena sea la intención original del autor, "Cheese" sigue siendo una pieza de "malware" replicativo que consume recursos como CPU, memoria, espacio en disco o ancho de banda de Internet de sistemas infectados; por lo tanto, permanecer como "algo malo".

Detalles técnicos

El gusano consta de tres archivos de programa llamados "queso", "ir" y "psm". "go" es el "punto de entrada" del gusano, que básicamente ejecuta el cuerpo principal del gusano, "queso", de tal manera que lo hace inmune a las señales, que pueden intentar detenerlo. "cheese", un script de Perl de 2Kybytes de longitud, es la parte principal del gusano, el responsable de la replicación.

Cuando se ejecuta, primero escaneará "/etc/inetd.conf" para los servicios que intentan ejecutar "/ bin / sh", en su mayoría puertas traseras de root-shell, y los eliminará. Obviamente, si se ha agregado un shell raíz al estilo más nuevo "/etc/xinetd.conf", el gusano no lo notará y lo dejará intacto.

A continuación, generará una base de IP aleatoria de 16 bits, como "a" y "b" en el "abxy", luego usará un programa externo ELF de Linux para escanear la clase de IP de Internet correspondiente para los hosts que escuchan en el puerto 10008 Por lo general, estos son hosts que han sido pirateados previamente por el gusano "Ramen" , hosts que ejecutan un shell raíz abierto en el puerto respectivo.

Entonces, cuando se encuentra un host de este tipo, el gusano ejecutará un pequeño script de instalación en el host remoto que creará un directorio llamado "/tmp/.cheese", y lanzará una instancia del popular navegador Lynx para descargar una copia del gusano del sistema infectado. El gusano en sí escuchará el intento de conexión en el sistema fuente, y enviará una copia codificada de UUE de sí mismo a la persona que llama de forma remota. El script de instalación que se ejecuta en el sistema de destino decodificará el cuerpo del gusano, lo descomprimirá en el directorio "/tmp/.cheese" y finalmente ejecutará el script "go" para iniciar el gusano, lo que propagará aún más la infección.


Enlace al original