Kaspersky Threats

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

файловые;
загрузочные;
макровирусы;
скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Net-Worm

Размножаются в компьютерных сетях. Отличительной особенностью данного типа червей является то, что им не нужен пользователь в качестве звена в цепочке распространения (непосредственно для активации). Часто такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения таких компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Иногда сетевой пакет содержит только ту часть кода червя, которая загружает файл с основным функционалом и запускает его на исполнение. Встречаются и сетевые черви, которые используют сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения жертвы.

Подробнее

Платформа: Linux

Linux – семейство операционных систем, которые образовались под влиянием UNIX на базе ядра Linux и пользовательского окружения GNU.

Описание

Technical Details

Первый известный червь, заражающий системы RedHat Linux. Червь был обнаружен в середине января 2001 года. Распространяет свои копии (заражает удаленные Linux-системы) при помощи "дыры" в системе защиты RedHat Linux (так называемая дыра "переполнение буфера"). Эта "дыра" позволяет засылать исполняемый код на удаленный компьютер и выполнять его там без вмешательства администратора (пользователя). Используя эту дыру червь засылает на удаленные компьютеры короткий кусок своего кода, выполняет его там, докачивает свой основной код и стартует его. Червь не тестировался в Вирусной Лаборатории, мы не имеем ни одного подтвержденного сообщения о зараженных компьютерах, и по этой причине все сказанное ниже следует читать как "червь должен делать это, если это действительно работает". Червь использует три различные дыры в RedHat Linux версий 6.2 и 7.0. Эти дыры были обнаружены и закрыты летом-осенью 2000 года, более чем за 3 месяца до появления червя. Код червя также содержит процедуры, направленные на взлом FreeBSD и SuSE, однако эти процедуры не используются.

Компоненты червя

Червь состоит из 26 компонент общего объемы около 300Kb. Половина из этих файлов является скрипт-программами на командном языке UNIX (".sh"-файлы), другая половина - выполняемые файлы Linux (ELF-файлы). Основными управляющими компонентами являются скрипт-файлы. Они при необходимости вызывают прочие скрипт-компоненты или выполняют ELF-программы червя. Список компонент выглядит следующим образом:


 asp        hackl.sh     randb62     start62.sh  wh.sh
 asp62      hackw.sh     randb7      start7.sh   wu62
 asp7       index.html   s62         synscan62
 bd62.sh    l62          s7          synscan7
 bd7.sh     l7           scan.sh     w62
 getip.sh   lh.sh        start.sh    w7

Компоненты с числом "62" исполняются под Linux RedHat 6.2, компоненты "7" - под RedHat 7.0. Компонента "wu62" не используется.

Распространение

При старте основной компоненты червя (файл "start.sh") поочередно вызываются прочие компоненты, которые определяют адреса атакуемых систем, посредством атаки "переполнение буфера" засылают туда "загрузчик" червя, который затем докачивает и запускает основной код червя. Червь активизируется и затем распространяется с только что зараженного компьютера далее на другие системы. Червь передается с машины на машину в виде архива "tgz" (стандартный архив, применяемый в UNIX-системах) с именем "ramen.tgz". При заражении машины архив передается на нее, распаковывается и запускается главный файл червя. Червь также добавляет команду запуска своего основого файла к файлу инициализации системы "/etc/rc.d/rc.sysinit". В результет червь запускается каждый раз при последующих запусках зараженной системы. Червь также предпринимает действия, закрывающие "дыру" в защите Linux RedHat. В результате зараженная машина не может быть атакована повторно.

Подробнее

Для того, чтобы получить IP-адреса прочих машин для их последующих атак червь сканирует ресурсы глобальной сети, т.е. действует аналогично утилитам типа "сниффер". При атаках используются "дыры" в трех программах-демонах Linux RedHat: "statd", "lpd", "wu-ftp". При засылке и исполнении кода червя на удаленной машине червь использует "переполнение буфера" кодом, который получает системные привелегии и запускает командный процессор, который затем выполняет следующие команды:

создает каталог "/usr/src/.poop", куда потом будет скачан архив червя "ramen.tgz"
экспортирует переменную "TERM=vt100", необходимую для запуска WWW-броузера "lynx"
запускает броузер "lynx" и с его помощью скачивает "ramen.tgz" с машины, с которой происходит заражение
распаковывает из архива "ramen.tgz" все компоненты червя
запускает основную компоненту: файл "start.sh"

Для отсылки архива "ramen.tgz" по запросу с заражаемого компьютера червь создает на зараженном компьютере дополнительный сервер с именем "asp".

Прочее

Червь ищет на зараженной машине все файлы "index.html" (стартовые страницы Web-серверов) и заменяет их на собственную "index.html", содержащую текст:

Уничтожает файл "/etc/hosts.deny". Этот файл содержит список адресов машин, которым запрещен доступ к данной системе (в случае использования TCP-враппера). При заражении очередной системы отправляет три письма с текстом "Eat Your Ramen!" на адреса:

the address of just infected machine
gb31337@hotmail.com
gb31337@yahoo.com

Темой (Subject) письма является IP-адрес зараженной машины.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!