|
|
|
Новости о вирусах и антивирусах
|
ДиалогНаука
предупреждает...
SunOS.Sadmind
Опасный интернет-червь. Использует для своего распространения
и проявлений две уязвимости: переполнение буфера в Sun Solstice
AdminSuite Daemon (sadmind) в операционных системах Sun Solaris 2.5,
2.5.1, 2.6 и 7, а также уязвимость Unicode-Bug в Microsoft Internet
Information Server.
Результатом деятельности червя является удаление и замена
(defacing) страниц web-серверов, а также нарушение системы
разграничения доступа атакованных OS Sun Solaris.
Вирусные компоненты состоят из определенного набора файлов: brute, grabb,
sadmindex-sparc, index.html, ranip.pl, uniattack.pl, sadmind.sh,
start.sh, time.sh, uniattack.sh, cmd1.txt, cmd2.txt, pkgadd.txt, а также
включают в себя общедоступные утилиты: gzip, wget, nc.
При попадании в систему червь инициирует следующую последовательность
действий.
- Запускается стартовый вирусный скрипт (start.sh), который создает
каталог /dev/cub, запускает в фоновом непрерываемом режиме скрипт
time.sh, а затем производит также в фоновом непрерываемом режиме пять
запусков скриптов sadmin.sh и uniattack.sh
- Скрипт sadmin.sh представляет собой часть вируса, ответственную за его
дальнейшее размножение. Посредством вызова скрипта ranip.pl вирус
генерирует случайный ip адрес подсети и производит попытку сканирования
открытых портов tcp/udp 111 (sunrpc) в данной подсети. Обнаруженные таким
образом адреса возможно уязвимых хостов запоминаются в файле. Далее
посредством вызова утилиты rpcinfo последовательно для каждого из этих
хостов, червь определяет, присутствует ли на удаленной системе Admin
Suite Daemon (sadmind). Если такой сервис запущен на удаленной системе,
то червь пытается двумя способами, вызывая собственный модуль brute,
используя переполнение буфера в sadmind на удаленной системе,
инициировать root shell-сессию на порту 600. В случае успешного запуска
удаленного shell вирус, используя утилиту nc (netcat), добавляет строку
"+ +" в файл /.rhosts администратора удаленной системы, таким образом
позволяя выполнение команд удаленного доступа от имени администратора
системы любому пользователю. После этого вирус архивирует свои модули
в файл uni.tar, а затем, используя команду rcp, копирует этот файл
на удаленную систему в каталог /tmp. Далее, используя netcat, червь
распаковывает в удаленный каталог /dev/cuc свои файлы, записывает
на удаленной системе в скрипт /etc/rc2.d/S71rpc вызов собственного
основного скрипта start.sh (таким образом, червь будет активизироваться
и после перезагрузки сервера), выкачивает, используя утилиту wget, с
http://www.sunfreeware.com пакет perl (для того, чтобы в дальнейшем были
работоспособны его pl-скрипты), устанавливает его в систему, и вызовом
rsh запускает исправленный /etc/rc2.d/S71rpc на удаленной системе, таким
образом инициируя запуск собственного стартового вирусного скрипта.
- Скрипт uniattack.sh пытается выполнить описанным выше способом
определение хостов с открытым tcp портом 80 (http) и для каждого
из подходящих обнаруженных хостов вызывает скрипт uniattack.pl, который
определяет тип установленного на атакуемой машине http-сервера и для
Microsoft IIS серверов пытается четырнадцатью несколько отличающимися
в строке запроса способами произвести замену головных страниц сайта
(файлы index.html, index.asp, default.html, default.asp) на страницу,
содержащую следующий текст:
fuck USA Government
fuck PoisonBOx
contact:sysadmcn@yahoo.com.cn
- Скрипт time.sh следит за запущенными копиями скрипта uniattack.pl
и каждые пять минут, сверяя списки запущенных процессов, завершает
"подвисшие" копии. Кроме этого, анализируя вирусный лог-файл
/dev/cub/result.txt со списком успешно атакованных Microsoft IIS
cерверов, скрипт time.sh производит подсчет их количества и по достижении
счетчиком значения 2000, производит поиск и замену во всех каталогах
файлов index.html на файл с содержимым, аналогичным вышеприведенному.
16 мая 2001 г.
Информационная служба ЗАО "ДиалогHаука"
E-mail: Antivir@antivir.ru
WWW: http://www.antivir.ru
Copyright © 2001 ЗАО ДиалогНаука All
rights reserved.
