BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Net-Worm.Linux.Ramen

Sınıf Net-Worm
Platform Linux
Açıklama

Teknik detaylar

Bu RedHat Linux sistemlerini enfekte eden ilk bilinen kurttur. Solucan, 2001 yılının Ocak ayının ortasında keşfedildi. Solucan, sistemden sisteme bir RedHat güvenlik ihlali (sözde "arabellek taşması" ihlali) kullanarak yayılıyor ve bu da uzak bir sisteme yükleme yapılmasına ve kısa bir parçanın çalıştırılmasına izin veriyor. Orada kod, daha sonra ana solucan bileşenini indirir ve etkinleştirir.

Solucan VirusLab'da test edilmedi, bu nedenle aşağıdaki tüm bilgiler "eğer gerçekten işe yarayacaksa kurtçuk yapabilirdi" şeklinde okunmalıdır. Ayrıca virüslü sunucular hakkında müşterilerimizden onaylanmış bir raporumuz bulunmamaktadır.

Solucan RedHat'ın 6.2 ve 7.0 versiyonlarında üç güvenlik ihlali kullanır, bu ihlaller solucan keşfinden en az üç ay önce 2000 yaz-yaz aylarında keşfedilmiştir.

Solucan ayrıca FreeBSD ve SuSE makinelerine saldırmak niyetinde olan rutinler içerir, ancak bu rutinler ne aktive ne de solucan kodunda kullanılır.

Kendini Solucan

Toplam uzunluğu 300K olan 26 dosyadan oluşan çok bileşenli bir solucan bu. Bu dosyalar komut dosyası programları ve yürütülebilir dosyalardır. Komut dosyası programları, bir Linux komut kabuğu tarafından çalıştırılan ".sh" dosyalarıdır (DOS BAT dosyaları ve Windows CMD dosyaları gibi). Yürütülebilir dosyalar standart Linux ELF yürütülebilir dosyalarıdır.

Solucanın ana bileşenleri, ana bilgisayar olarak çalıştırılan komut dosyası ".sh" dosyalarıdır ve daha sonra gerekli eylemleri gerçekleştirmek için dosyaların kalanını (ek ".sh" dosyaları ve ELF yürütülebilir dosyaları) çalıştırır.

Bileşenlerin listesi aşağıdaki gibi görünür:


 asp hackl.sh randb62 start62.sh wh.sh
 asp62 hackw.sh randb7 start7.sh wu62
 asp7 index.html s62 Instagram Hesabındaki Resim ve Videoları synscan62
 bd62.sh l62 s7 synscan7
 bd7.sh l7 scan.sh w62
 getip.sh lh.sh start.sh w7
 

"62" bileşenleri RedHat 6.2 sistemleri altında aktif hale getirildi, "7" bileşenleri RedHat 7.0 altında aktive edildi. "Wu62" dosyası hiç kullanılmıyor.

Yayma

Yayma (bir uzak Linux makinesine bulaşan) bir "arabellek taşması" saldırısı ile yapılır. Bu saldırı, saldırıya uğrayan bir makineye gönderilen özel bir paket olarak gerçekleştirilir. Paketin özel hazırlanmış bir veri bloğu vardır. Bu paket veri bloğu daha sonra bu makinede bir kod olarak yürütülür. Bu kod, virüs bulaşmış bir makineye bağlantı açar, solucan kodunun geri kalanını alır ve etkinleştirir. Bu anda, makine enfekte ve solucanı daha da yaymaya başlıyor.

Solucan, makineden makineye bir "tgz" arşivi (standart UNIX arşivi) olarak bir "ramen.tgz" adıyla, içinde 26 adet solucan bileşeni ile aktarılır. Yeni bir makine enfekte ederken, solucan paketi paketten çıkarır ve diğer solucan bileşenlerini etkinleştiren ana "start.sh" dosyasını çalıştırır.

Solucan bileşenleri daha sonra diğer Linux makineleri için küresel ağı tarar ve "tampon taşması" saldırısı başarıyla gerçekleştirilirse oraya solucanı yükler.

Solucan aynı zamanda, başlangıçtaki ".sh" dosyasını bir "/etc/rc.d/rc.sysinit" dosyasına çalıştırmak için bir komut ekler ve sonuç olarak, solucanın bileşenleri, takip edilen her sistem başlangıcında etkinleştirilir.

Solucan ayrıca sistemi enfekte etmek için kullanılan güvenlik ihlallerini de kapatır. Bu yüzden, enfekte bir makine, kurtçuk tarafından iki kez saldırıya uğramaz.

ayrıntılar

Onlara saldırmak için uzak makinelerin IP adreslerini almak için, solucan IP adresleri için mevcut küresel ağı tarar; Yani, standart "sniffer" yardımcı programlarına benzer şekilde çalışır.

Uzak bir sisteme saldırmak için, solucan üç RedHat Linux iblisinde güvenlik açıklarını kullanır: "statd", "lpd" ve "wu-ftp".

Uzak bir makinede kopyasını yüklemek ve etkinleştirmek için, solucan "arabellek taşması" kodu "root" ayrıcalıklarına geçen, bir komut kabuğu çalıştıran ve aşağıdaki komutları takip eden yönergeleri içerir:

  • solucan "tgz" dosyasını indirmek için bir dizin oluşturur, dizin adı "/usr/src/.poop"
  • Bir sonraki adım için gerekli olan "TERM = vt100" değişkenini dışa aktarır
  • bir ana makineden (solucanın yayıldığı makine) bir solucan "tgz" dosyasını indiren "lynx" (sadece WWW tarayıcısı) çalıştırır
  • tüm solucan bileşenlerini bir "tgz" arşivinden çıkarır
  • solucan başlangıç ​​bileşenini çalıştırır: "start.sh" dosyası

Bir "ramen.tgz" arşivi göndermek için, solucan solucan "tgz" arşivi bir solucan "buffer overrun" bileşeninden talep ederek gönderen ek bir "asp" sunucusunu çalıştırır.

Çeşitli.

Solucan birkaç yük ve diğer bulaşıcı olmayan rutinleri vardır.

Her şeyden önce, tüm "index.html" dosyalarını (bir Web sunucusunun başlangıç ​​sayfaları) kök dizinden başlayarak yerel bir makinede bulur ve aşağıdaki metni içeren kendi "index.html" dosyası ile değiştirir:

RameN Ekip Hacker'ları looooooooooooooooove noodles. <Sup> TM </ sup>

Solucan "/etc/hosts.deny" dosyasını siler. Bu dosya, bu sisteme erişimi reddedilen ana bilgisayarların (adresler ve / veya Internet adları) bir listesini içerir (TCP sarmalayıcı olarak adlandırılan bir durum söz konusuysa). Sonuç olarak, kısıtlanmış makinelerin herhangi biri etkilenen sisteme erişebilir.

Yeni bir sistem enfekte olduğunda, solucan "bildirim" mesajlarını üç e-posta adresine gönderir:

  1. sadece virüslü makinenin adresi
  2. gb31337@hotmail.com
  3. gb31337@yahoo.com

İleti, virüs bulaşmış makinenin IP adresidir, ileti gövdesi metni içerir:

Ramenini ye!


Orijinaline link