Linux.Worm.Slapper.A

Nume: Linux.Worm.Slapper.A Tip: Network worm Marime: 65-70KB (C source) Raspandire: Medie Risc: Mediu ITW: Da Simptome: - fisierele "tmp/.bugtraq" si "/tmp/.bugtraq.c" continand codul, sursa si

Nume: Linux.Worm.Slapper.A Tip: Network worm Marime: 65-70KB (C source) Raspandire: Medie Risc: Mediu ITW: Da Simptome: - fisierele "tmp/.bugtraq" si "/tmp/.bugtraq.c" continand codul, sursa si partea executabila a viermelui; - rularea procesului "bugtraq" - portul UDP 2002 este deschis. Descriere tehnica: Linux.Worm.Slapper.A este un virus destinat retelei care exploateaza o vulnerabilitate in implementarea OpenSSL a protocolului Secure Sockets Layer - trimiterea unei chei de client defecte intr-o cerere SSL poate cauza un buffer overrun si rularea oricarui cod de server; mai multe informatii in legatura cu aceasta vulnerabilitate sunt disponibile in documentul http://www.openssl.org/new/secadv 20020730.txt. Viermele vizeaza acele distributii Linux care ruleaza popularul server Apache. Viermele scaneaza in retea dupa calculatoarele vulnerabile care au IP-urile in forma a.b.c.d., unde "a" si "b" sunt alese aleator si "c" si "d" sunt repetate prin toate valorile posibile. Pentru fiecare IP scanat viermele incearca sa stabileasca o conexiune HTTP cu scopul de a interoga sistemul de operare si sa identifice daca ruleaza o versiune vulnerabila a server-ului Apache. Viermele va incerca sa se conecteze la portul SSL prestabilit, posibil vulnerabil (443) si sa ii trimita un sir de caractere special conceput care va declansa buffer overrun-ul si va rula codul inclus x86 al calculatorului; aceasta secventa de cod foloseste sistemul INT 80H pentru a accesa serviciile kernelului Linux si apelarea shel-ului cu scopul de a indeplini urmatoarele actiuni: - salvarea unei copii criptate a codului sursa a viermelui in "/tmp/.uubugtraq"; - decriptarea acesteia in "/tmp/.bugtraq"; - rularea partii executabile generata cu IP-ul calculatorului expeditor ca si argument al liniei de comanda. Acest mecanism de trimitere a codului sursa si compilarea lui pe calculatorul tinta asigura portabilitatea viermelui pe multe distributii Linux. Viermele cauta portul UDP 2002 pentru mesaje (criptate) care ofera urmatoarele functii: - comunicare directa cu alt calculator infectat; - retransmiterea unui pachet de date catre alt calculator infectat; - raspandirea unui pachet de date catre toate calculatoarele infectate; - rularea unei comenzi pe calculator running a command on the machine; - initierea unui atac distribuit de tip denial-of-service pe o masina. Acest comportament de tip backdoor compromite securitatea si functionalitatea atat a statiei de lucru, cat si a retelei. Dezinfectie manuala: Opriti rularea procesului ".bugtraq" pe calculatoarele infectate; deoarece viermele nu se "instaleaza" singur (nu este rulat la pornire) puteti alege sa inchideti calculatoarele cu Linux din retea si sa le reporniti. Nota: Virusii din aceasta rubrica au fost analizati de Softwin si pot fi eliminati cu antivirusul BitDefender.