BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER. Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Şunlar için çözümler:
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Zayıf noktalar Tehditler
Ana sayfa Tehditler Net-Worm Linux

Net-Worm.Linux.Ramen

Sınıf
Net-Worm
Platform
Linux

Ana sınıf: VirWare

Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında ​​gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.

Sınıf: Net-Worm

Net-Worms bilgisayar ağları yoluyla yayılır. Bu tür solucanın ayırt edici özelliği, yayılmak için kullanıcı eylemi gerektirmemesidir. Bu tür solucan genellikle ağdaki bilgisayarlarda çalışan yazılımlardaki kritik güvenlik açıklarını arar. Ağdaki bilgisayarları enfekte etmek için, solucan özel hazırlanmış bir ağ paketi (istismar olarak adlandırılır) gönderir ve bunun sonucunda solucan kodu (veya solucan kodunun bir kısmı) kurbanın bilgisayarına nüfuz eder ve aktive olur. Bazen ağ paketi, ana solucan modülünü içeren bir dosyayı indirip çalıştıracak olan solucan kodunun yalnızca bir kısmını içerir. Bazı ağ solucanları, yayılmak için eş zamanlı olarak birkaç istismar kullanır, böylece kurbanların bulunduğu hızı arttırır.

Platform: Linux

Linux, Linux çekirdeği ve GNU araçlarına dayanan bir UNIX-etkilemiş işletim sistemi ailesidir.

Açıklama

Teknik detaylar

Bu RedHat Linux sistemlerini enfekte eden ilk bilinen kurttur. Solucan, 2001 yılının Ocak ayının ortasında keşfedildi. Solucan, sistemden sisteme bir RedHat güvenlik ihlali (sözde "arabellek taşması" ihlali) kullanarak yayılıyor ve bu da uzak bir sisteme yükleme yapılmasına ve kısa bir parçanın çalıştırılmasına izin veriyor. Orada kod, daha sonra ana solucan bileşenini indirir ve etkinleştirir.

Solucan VirusLab'da test edilmedi, bu nedenle aşağıdaki tüm bilgiler "eğer gerçekten işe yarayacaksa kurtçuk yapabilirdi" şeklinde okunmalıdır. Ayrıca virüslü sunucular hakkında müşterilerimizden onaylanmış bir raporumuz bulunmamaktadır.

Solucan RedHat'ın 6.2 ve 7.0 versiyonlarında üç güvenlik ihlali kullanır, bu ihlaller solucan keşfinden en az üç ay önce 2000 yaz-yaz aylarında keşfedilmiştir.

Solucan ayrıca FreeBSD ve SuSE makinelerine saldırmak niyetinde olan rutinler içerir, ancak bu rutinler ne aktive ne de solucan kodunda kullanılır.

Kendini Solucan

Toplam uzunluğu 300K olan 26 dosyadan oluşan çok bileşenli bir solucan bu. Bu dosyalar komut dosyası programları ve yürütülebilir dosyalardır. Komut dosyası programları, bir Linux komut kabuğu tarafından çalıştırılan ".sh" dosyalarıdır (DOS BAT dosyaları ve Windows CMD dosyaları gibi). Yürütülebilir dosyalar standart Linux ELF yürütülebilir dosyalarıdır.

Solucanın ana bileşenleri, ana bilgisayar olarak çalıştırılan komut dosyası ".sh" dosyalarıdır ve daha sonra gerekli eylemleri gerçekleştirmek için dosyaların kalanını (ek ".sh" dosyaları ve ELF yürütülebilir dosyaları) çalıştırır.

Bileşenlerin listesi aşağıdaki gibi görünür: 

 asp hackl.sh randb62 start62.sh wh.sh asp62 hackw.sh randb7 start7.sh wu62 asp7 index.html s62 Instagram Hesabındaki Resim ve Videoları synscan62 bd62.sh l62 s7 synscan7 bd7.sh l7 scan.sh w62 getip.sh lh.sh start.sh w7

"62" bileşenleri RedHat 6.2 sistemleri altında aktif hale getirildi, "7" bileşenleri RedHat 7.0 altında aktive edildi. "Wu62" dosyası hiç kullanılmıyor.

Yayma

Yayma (bir uzak Linux makinesine bulaşan) bir "arabellek taşması" saldırısı ile yapılır. Bu saldırı, saldırıya uğrayan bir makineye gönderilen özel bir paket olarak gerçekleştirilir. Paketin özel hazırlanmış bir veri bloğu vardır. Bu paket veri bloğu daha sonra bu makinede bir kod olarak yürütülür. Bu kod, virüs bulaşmış bir makineye bağlantı açar, solucan kodunun geri kalanını alır ve etkinleştirir. Bu anda, makine enfekte ve solucanı daha da yaymaya başlıyor.

Solucan, makineden makineye bir "tgz" arşivi (standart UNIX arşivi) olarak bir "ramen.tgz" adıyla, içinde 26 adet solucan bileşeni ile aktarılır. Yeni bir makine enfekte ederken, solucan paketi paketten çıkarır ve diğer solucan bileşenlerini etkinleştiren ana "start.sh" dosyasını çalıştırır.

Solucan bileşenleri daha sonra diğer Linux makineleri için küresel ağı tarar ve "tampon taşması" saldırısı başarıyla gerçekleştirilirse oraya solucanı yükler.

Solucan aynı zamanda, başlangıçtaki ".sh" dosyasını bir "/etc/rc.d/rc.sysinit" dosyasına çalıştırmak için bir komut ekler ve sonuç olarak, solucanın bileşenleri, takip edilen her sistem başlangıcında etkinleştirilir.

Solucan ayrıca sistemi enfekte etmek için kullanılan güvenlik ihlallerini de kapatır. Bu yüzden, enfekte bir makine, kurtçuk tarafından iki kez saldırıya uğramaz.

ayrıntılar

Onlara saldırmak için uzak makinelerin IP adreslerini almak için, solucan IP adresleri için mevcut küresel ağı tarar; Yani, standart "sniffer" yardımcı programlarına benzer şekilde çalışır.

Uzak bir sisteme saldırmak için, solucan üç RedHat Linux iblisinde güvenlik açıklarını kullanır: "statd", "lpd" ve "wu-ftp".

Uzak bir makinede kopyasını yüklemek ve etkinleştirmek için, solucan "arabellek taşması" kodu "root" ayrıcalıklarına geçen, bir komut kabuğu çalıştıran ve aşağıdaki komutları takip eden yönergeleri içerir:

  • solucan "tgz" dosyasını indirmek için bir dizin oluşturur, dizin adı "/usr/src/.poop"
  • Bir sonraki adım için gerekli olan "TERM = vt100" değişkenini dışa aktarır
  • bir ana makineden (solucanın yayıldığı makine) bir solucan "tgz" dosyasını indiren "lynx" (sadece WWW tarayıcısı) çalıştırır
  • tüm solucan bileşenlerini bir "tgz" arşivinden çıkarır
  • solucan başlangıç ​​bileşenini çalıştırır: "start.sh" dosyası

Bir "ramen.tgz" arşivi göndermek için, solucan solucan "tgz" arşivi bir solucan "buffer overrun" bileşeninden talep ederek gönderen ek bir "asp" sunucusunu çalıştırır.

Çeşitli.

Solucan birkaç yük ve diğer bulaşıcı olmayan rutinleri vardır.

Her şeyden önce, tüm "index.html" dosyalarını (bir Web sunucusunun başlangıç ​​sayfaları) kök dizinden başlayarak yerel bir makinede bulur ve aşağıdaki metni içeren kendi "index.html" dosyası ile değiştirir:

RameN Ekip Hacker'ları looooooooooooooooove noodles. <Sup> TM </ sup>

Solucan "/etc/hosts.deny" dosyasını siler. Bu dosya, bu sisteme erişimi reddedilen ana bilgisayarların (adresler ve / veya Internet adları) bir listesini içerir (TCP sarmalayıcı olarak adlandırılan bir durum söz konusuysa). Sonuç olarak, kısıtlanmış makinelerin herhangi biri etkilenen sisteme erişebilir.

Yeni bir sistem enfekte olduğunda, solucan "bildirim" mesajlarını üç e-posta adresine gönderir:

  1. sadece virüslü makinenin adresi
  2. gb31337@hotmail.com
  3. gb31337@yahoo.com

İleti, virüs bulaşmış makinenin IP adresidir, ileti gövdesi metni içerir:

Ramenini ye!

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com

Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz? Bize bildirin!
Yeni Kaspersky!
Dijital hayatınız güçlü korumayı hak ediyor!
Daha fazla bilgi edin
Kaspersky IT Security Calculator
Daha fazla bilgi edin
Related articles
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
28 March 2024
Securelist
DinodasRAT Linux implant targeting entities worldwide
Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Yeni bir Tehdit ya da Güvenlik Açığı mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Şunlar için çözümler
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Select language
Sorting
Tehdit
Confirm changes?
Your message has been sent successfully.