"Mighty" jest robakiem internetowym atakującym komputery pracujące pod kontrolą systemu Linux z zainstalowanym serwerem WWW Apache. Szkodnik wykorzystuje lukę w zabezpieczeniach SSL znajdującą się w module "mod_ssl". Luka ta została wykryta 30 lipca 2002, a jej szczegółowy opis można znaleźć tutaj.
Na ataki robaka podatne są konfiguracje oparte na systemie Linux przeznaczonym dla platformy Intel x86, z zainstalowanym serwerem WWW Apache wykorzystującym OpenSSL starszy niż 0.9.6e oraz 0.9.7-beta. W nowszych wersjach luka wykorzystywana przez robaka została zlikwidowana.
Główny komponent infekujący ma rozmiar około 19 KB i wykorzystuje część kodu popularnego wirusa "Slapper". Ponadto robak wyposażony jest w funkcję backdoor, która łączy się z serwerem IRC i przyłącza się do specjalnego kanału, poprzez który zdalny użytkownik może kontrolować zainfekowaną maszynę.
Robak składa się z zestawu czterech plików o nazwach "devnull", "k", "sslx.c" oraz "script.sh", przechowywanych w katalogu "/tmp/.socket2".
"devnull" jest głównym składnikiem odpowiedzialnym za rozprzestrzenianie. Szuka on komputerów, na których port 443 jest otwarty. Backdoor (plik "k") ma rozmiar 37237 bajtów i został skompilowany przy użyciu kodu popularnego bota IRC - "Age of Kaiten". Backdoor umożliwia zdalnemu użytkownikowi wykonywanie operacji takich jak pobieranie plików binarnych ze stron WWW i uruchamianie ich oraz zasypywanie zainfekowanego komputera "śmieciami".
Trzeci składnik robaka - "sslx.c" - jest kodem wykonującym atak przepełnienia bufora OpenSSL. Jest on identyczny jak w przypadku robaka "Slapper". W kodzie można znaleźć następujący komentarz:
* Linux Apache + OpenSSL exploit
*
* created by andy^ from the bugtraq.c source
Podczas przeprowadzania ataku składnik "sslx.c" pobiera z serwera WWW dodatkowy plik - "script.sh". Jest to skrypt odpowiedzialny za pobieranie oraz instalowanie modułu rozprzestrzeniającego i backdoora.
W celu oznaczenia zainfekowanego komputera robak tworzy plik "/tmp/.god_you_make_me_laugh_canin-boy".
Linuksowa plaga
Wirusy komputerowe |
Pon, 7 Paź 2002 22:50:59 +0200 |
Autor:
Redakcja
| Czytań: 2534
Pozostałe wiadomości w kategorii Wirusy komputerowe (326)
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9630 pkt.
2
grzemach 850 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
kris2005a 140 pkt.
6
Localghost 130 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.