Worm.Linux.Adm

Jest to robak internetowy infekuj膮cy komputery dzia艂aj膮ce pod kontrol膮 systemu Linux. Szkodnik rozprzestrzenia si臋 wykorzystuj膮c dziur臋 w zabezpieczeniach Linuksa (przepe艂nienie bufora) umo偶liwiaj膮c膮 zdalne umieszczenie na zainfekowanej maszynie programu, kt贸ry pobiera i uruchamia g艂贸wny komponent wirusa.

Robak jest wieloelementowy - sk艂ada si臋 z 8 plik贸w, w艣r贸d kt贸rych znajduj膮 si臋 skrypty oraz modu艂y wykonywalne. Skrypty s膮 plikami SH natomiast modu艂y wykonywalne to standardowe dla Linuksa pliki ELF.

G艂贸wne komponenty wirusa znajduj膮 si臋 w plikach SH, kt贸re uruchamiane s膮 jako hosty i odczytuj膮 zawarto艣膰 pozosta艂ych plik贸w w celu wykonania 偶膮danych procedur.

Poni偶ej znajduje si臋 lista komponent贸w robaka:

  • ADMw0rm
  • Hnamed
  • gimmeIP
  • remotecmd
  • gimmeRAND
  • scanco
  • incremental
  • test

Rozprzestrzenianie

Rozprzestrzenianie (infekowanie zdalnej maszyny dzia艂aj膮cej pod kontrol膮 systemu Linux) polega na przepe艂nieniu bufora atakowanej maszyny. Robak wysy艂a do niej specjalny pakiet, kt贸ry posiada blok odpowiednio przygotowanych danych. Blok ten jest nast臋pnie uruchamiany na infekowanym komputerze, inicjuje po艂膮czenie, pobiera pozosta艂e elementy wirusa i uruchamia je. Od tego momentu rozpoczyna si臋 dalsze rozprzestrzenianie robaka.

Robak jest przenoszony mi臋dzy atakowanymi maszynami w postaci archiwum TGZ (standardowe archiwum systemu UNIX) z nazw膮 ADMw0rm.tgz. Podczas infekowania nowego komputera robak rozpakowuje archiwum, uruchamia sw贸j g艂贸wny plik ADMw0rm, kt贸ry z kolei aktywuje pozosta艂e komponenty.

Szczeg贸艂y techniczne

Aby uzyska膰 adresy IP zdalnych maszyn robak skanuje globalne zasoby sieciowe w poszukiwaniu adres贸w IP komputer贸w z zainstalowanymi serwerami DNS.

Podczas atakowania komputera robak wykorzystuje dziur臋 w zabezpieczeniach demona named.

W celu za艂adowania i uruchomienia swojej kopii na zdalnej maszynie, robak przepe艂nia jej bufor, uzyskuje prawa u偶ytkownika root, uruchamia pow艂ok臋 i wykonuje nast臋puj膮ce operacje:

  • uruchamia demona /usr/sbin/named
  • tworzy katalog /tmp/.w0rm0r, w kt贸rym umieszczane zostanie pobrane archiwum TGZ
  • uruchamia "ftp" (standardowy program systemu Linux), kt贸ry pobiera plik TGZ z ju偶 zainfekowanej maszyny
  • rozpakowuje wszystkie swoje komponenty umieszczone w archiwum TGZ
  • uruchamia sw贸j g艂贸wny komponent ADMw0rm

Funkcje dodatkowe

Robak posiada kilka dodatkowych procedur.

Po pierwsze wyszukuje na zainfekowanej maszynie wszystkie pliki index.html i nadpisuje je tre艣ci膮:

The ADM Inet w0rm is here!

Szkodnik usuwa plik /etc/hosts.deny. Plik ten zawiera list臋 host贸w, kr贸rzy nie maj膮 prawa dost臋pu do systemu.

Gdy nowy system zostanie zainfekowany robak wysy艂a "powiadomienie" pod adres "admsmb@hotmail.com".