Net-Worm.Linux.Adm

Technical Details

Интернет-червь, заражающий Linux системы. Червь был обнаружен весной 1998 года. Распространяет свои копии (заражает удаленные Linux-системы) при помощи «дыры» в системе защиты Linux (так называемая дыра «переполнение
буфера»). Эта дыра позволяет засылать исполняемый код на удаленный компьютер и выполнять его там без ведома администратора (пользователя). Используя эту дыру, червь засылает на удаленные компьютеры короткий кусок своего кода, выполняет его там, докачивает свой основной код
и стартует его.

Червь использует дыру в пакете программ BIND (Berkeley Internet Name
Domain), который поставляется во многих версиях UNIX и обеспечивает службу
имен для сети интернет. Эта дыра была обнаружена и закрыта в 1998-ом году.

Компоненты червя

Червь состоит из 8 компонент. 3 из этих файлов являются скрипт-программами
на командном языке UNIX («.sh»-файлы), еще 5 файлов являются выполняемыми
файлами Linux (ELF-файлы).

Основными управляющими компонентами являются скрипт-файлы. Они при
необходимости вызывают прочие скрипт-компоненты или выполняют ELF-программы
червя.

Список компонент выгладит следующим образом:

 ADMw0rm            Hnamed
 gimmeIP            remotecmd
 gimmeRAND          scanco
 incremental        test

Распространение

При старте основной компоненты червя (файл «ADMw0rm») поочередно вызываются
прочие компоненты, которые определяют адреса атакуемых систем, посредством
атаки «переполнение буфера» засылают туда «загрузчик червя», который затем
докачивает и запускает основной код червя. Червь активизируется и затем
распространяется с только что зараженного компьютера далее на другие
системы.

Червь передается с машины на машину в виде архива «tgz» (стандартный архив,
применяемый в Linux системах) с именем «ADMw0rm.tgz». При заражении машины
архив передается на нее, распаковывается запускается главный файл червя
«ADMw0rm».

Подробнее

Для того, чтобы получить IP-адреса прочих машин для их последующих атак
червь сканирует ресурсы глобальной сети в поисках машин, на которых стоит
DNS сервер.

При атаках используется «дыра» в программе-демоне Linux: «named».

При засылке и запуске кода червя на удаленной машине червь использует
«переполнение буфера» кодом, который получает системные привилегии и
запускает командный процессор, который затем выполняет следующие команды:

• запускает демон «/usr/sbin/named»
• создает каталог «/tmp/.w0rm0r», куда потом будет скачан архив червя
  «ADMw0rm.tgz»

• при помощи команды «ftp» скачивает архив «ADMw0rm.tgz» с машины, с
  которой происходит заражение

• распаковывает из архива «ADMw0rm.tgz» все компоненты червя
• запускает основную компоненту: файл «ADMw0rm»

Прочее

Червь ищет на зараженной машине все файоы «index.html» (стартовые страницы
Web-серверов) и заменяет их на собственную «index.html», содержащую текст:

The ADM Inet w0rm is here !

Уничтожает файл «/etc/hosts.deny». Этот файл содержит список адресов машин,
которым запрещен доступ к данной системе (в случае использования
TCP-враппера).

При заражении очередной системы отправляет письмо с IP-адресом зараженной
машины на адрес электронной почты: «admsmb@hotmail.com»