Clase de padre: VirWare
Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.Clase: Net-Worm
Net-Worms se propagan a través de redes informáticas. La característica distintiva de este tipo de gusano es que no requiere acción del usuario para propagarse. Este tipo de gusano generalmente busca vulnerabilidades críticas en el software que se ejecuta en las computadoras en red. Para infectar las computadoras en la red, el gusano envía un paquete de red especialmente diseñado (llamado exploit) y como resultado el código del gusano (o parte del código del gusano) penetra en la computadora de la víctima y se activa. A veces, el paquete de red solo contiene la parte del código del gusano que descargará y ejecutará un archivo que contiene el módulo principal del gusano. Algunos gusanos de red usan varios exploits simultáneamente para propagarse, lo que aumenta la velocidad a la que encuentran víctimas.Más información
Plataforma: Linux
Linux es una familia de sistemas operativos con influencia UNIX basada en el kernel de Linux y las herramientas de GNU.Descripción
Detalles técnicos
Texto escrito por Costin Raiu, Kaspersky, Rumania
Este es un gusano de Internet que se replica entre los sistemas que previamente fueron pirateados por el gusano Linux "Ramen" , y no los gusanos "León" o "Adore" como se afirma en otras descripciones, o el propio gusano. (ver el texto a continuación) "Cheese" también actuará como un "parche de seguridad" que eliminará las puertas traseras agregadas por ataques anteriores, pero no eliminará ni corregirá las vulnerabilidades utilizadas para hackear los respectivos sistemas; por lo tanto, las máquinas seguirán siendo vulnerables a los ataques originales utilizados para comprometerlas. El gusano contiene el siguiente texto:
> # elimina los roothells que se ejecutan desde /etc/inetd.conf
> # después de una infección l10n ... (para detener molestos haqz0rs
> # arruinando tu caja aún peor de lo que ya está)
> # Este código no fue escrito con intenciones maliciosas.
> # De hecho, fue escrito para intentar hacer algo bueno.
No importa cuán buena sea la intención original del autor, "Cheese" sigue siendo una pieza de "malware" replicativo que consume recursos como CPU, memoria, espacio en disco o ancho de banda de Internet de sistemas infectados; por lo tanto, permanecer como "algo malo".
Detalles técnicos
El gusano consta de tres archivos de programa llamados "queso", "ir" y "psm". "go" es el "punto de entrada" del gusano, que básicamente ejecuta el cuerpo principal del gusano, "queso", de tal manera que lo hace inmune a las señales, que pueden intentar detenerlo. "cheese", un script de Perl de 2Kybytes de longitud, es la parte principal del gusano, el responsable de la replicación.
Cuando se ejecuta, primero escaneará "/etc/inetd.conf" para los servicios que intentan ejecutar "/ bin / sh", en su mayoría puertas traseras de root-shell, y los eliminará. Obviamente, si se ha agregado un shell raíz al estilo más nuevo "/etc/xinetd.conf", el gusano no lo notará y lo dejará intacto.
A continuación, generará una base de IP aleatoria de 16 bits, como "a" y "b" en el "abxy", luego usará un programa externo ELF de Linux para escanear la clase de IP de Internet correspondiente para los hosts que escuchan en el puerto 10008 Por lo general, estos son hosts que han sido pirateados previamente por el gusano "Ramen" , hosts que ejecutan un shell raíz abierto en el puerto respectivo.
Entonces, cuando se encuentra un host de este tipo, el gusano ejecutará un pequeño script de instalación en el host remoto que creará un directorio llamado "/tmp/.cheese", y lanzará una instancia del popular navegador Lynx para descargar una copia del gusano del sistema infectado. El gusano en sí escuchará el intento de conexión en el sistema fuente, y enviará una copia codificada de UUE de sí mismo a la persona que llama de forma remota. El script de instalación que se ejecuta en el sistema de destino decodificará el cuerpo del gusano, lo descomprimirá en el directorio "/tmp/.cheese" y finalmente ejecutará el script "go" para iniciar el gusano, lo que propagará aún más la infección.
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com