|
|
|
Новости о вирусах и антивирусах
|
ДиалогНаука
предупреждает...
Linux.Adore
Очередной, очень опасный интернет-червь. Является компиляцией вирусов
Linux.Ramen и Linux.Lion, используя для своего
распространения все уязвимости, ранее применявшиеся данными вирусами, в
сервисах:
- Washington University's ftp server (wu-ftpd),
- Remote Procedure Call stat server (rpc.statd),
- LPRng (lpd),
- BIND DNS server (bind).
Кроме собственного размножения, вирус, так же как и ранее Linux.Lion,
оставляет в системе backdoor для удаленного несанкционированного
доступа к ней с привилегиями администратора.
Вирус представляет собой файл red.tar, в котором находится 33
различных вирусных компоненты: perl и shell-скрипты, а также
исполняемые файлы linux.
При старте вируса управление получает стартовый скрипт start.sh, который:
- проверяет наличие в системе файла /usr/lib/klog.o и, если таковой
файл присутствует в системе, завершает свою работу. Таким образом,
вирус проверяет собственное присутствие в системе.
- компилирует файлы icmp.c и ps.c, входящие в вирусный набор, копирует
файл /bin/ps в файл с именем /usr/bin/adore, после чего замещает
оригинальный файл /bin/ps на вирусный файл, который при попытке
выполнить команду просмотра списка запущенных в системе процессов
исключает из списка все работающие в данный момент вирусные
компоненты.
- далее вирус делает копию файла /etc/cron.daily/0anacron в
/etc/cron.daily/0anacron.bak и замещает оригинальный файл на
собственный, который, выполняясь как задание службы cron (обычно в
04:02 ночи), удаляет из системы вирусные компоненты размножения,
однако при этом все же оставляя в системе троянский backdoor, после
чего восстанавливает исходный файл /etc/cron.daily/0anacron.
- разрешает в файле конфигурации ftp-сервиса /etc/ftpusers анонимный
ftp-доступ.
- останавливает уязвимые запущенные сервисы rpc.statd, rpc.rstatd, lpd.
- далее вирус останавливает сервис klogd, замещает файл /sbin/klogd
(Kernel Log Daemon) на ранее откомпилированный вирусный файл icmp.
Оригинальный klogd вирус сохраняет в /usr/lib/klogd.o и перезапускает,
уже троянский, сервис klogd. Вирусный компонент icmp представляет
собой backdoor, который ждет прихода ICMP пакета длиной 77 байт, затем
открывает порт 65535, ждет соединения на него и инициирует root
shell-сессию с удаленным компьютером, предоставляя, таким образом,
полный несанкционированный доступ к системе атакующему.
- формирует почтовое сообщение с информацией о системе (ip-адрес
системы, список запущенных процессов, история команд из
/root/.bash_history, список хостов из /etc/hosts, содержимое файла
паролей /etc/shadow) и отправляет его по адресам adore9000@21cn.com и
adore9000@sina.com.
- обнуляет содержимое лог-файлов /var/log/maillog и /var/log/messages.
Далее вирус приступает к процедуре сканирования подсетей, поиска
уязвимых хостов (подробнее об этой процедуре можно узнать из описания
вирусов Linux.Ramen и Linux.Lion) и попытке
удаленного запуска на них скрипта, который с помощью текстового браузера
lynx скачивает с адреса http://go.163.com/~hotcn/ файл red.tar,
распаковывает из него компоненты вируса в каталог /usr/lib/lib и
запускает на выполнение стартовый вирусный скрипт start.sh.
12 апреля 2001 г.
Информационная служба ЗАО "ДиалогHаука"
E-mail: Antivir@antivir.ru
WWW: http://www.antivir.ru
Copyright © 2001 ЗАО ДиалогНаука All
rights reserved.
