Worm.Linux.Adore

Jest to bardzo niebezpieczny robak internetowy. Rozprzestrzenia si臋 przy u偶yciu dziur w zabezpieczeniach (poprzednio wykorzystywanych przez wirusy Linux.Ramen oraz Linux.Lion). Szkodnik wykorzystuje dziury w zabezpieczeniach nast臋puj膮cych serwis贸w:
  • Serwer ftp Uniwersytetu w Waszyngtonie (wu-ftpd)
  • Serwer Remote Procedure Call (rpc.statd)
  • LPRng (lpd)
  • Serwer BIND DNS (bind).

Podobnie jak Linux.Lion, wirus umieszcza w systemie backdoora, kt贸ry umo偶liwia zdalnemu u偶ytkownikowi kontrolowanie zainfekowanej maszyny z prawami administratora. Linux.Adore ma posta膰 pliku red.tar, kt贸ry zawiera 33 komponenty wirusa (skrypty Perl oraz pliki uruchamialne Linuksa).

Po uruchomieniu, wirus przekazuje kontrol臋 do skryptu start.sh, kt贸ry:

  • sprawdza czy system nie jest zainfekowany (szukaj膮c pliku /usr/lib/klog.o). Je艣li maszyna jest ju偶 zainfekowana, wirus ko艅czy swoje dzia艂anie;
  • kompiluje pliki icmp.c oraz ps.c znajduj膮ce si臋 w pakiecie wirusa;
  • kopiuje zawarto艣膰 pliku /bin/ps do pliku /usr/bin/adore, po czym zamienia oryginalny plik /bin/ps na zmodyfikowany przez wirusa. Dzi臋ki temu, wszystkie komponenty robaka s膮 ukryte na li艣cie aktywnych proces贸w;
  • kopiuje zawarto艣膰 pliku /etc/cron.daily/0anacron do pliku /etc/cron.daily/0anacron.bak, po czym zamienia oryginalny plik na zmodyfikowany przez wirusa. Powoduje to uruchomienie serwisu cron (zazwyczaj o godzinie 4:02), usuni臋cie wszystkich komponent贸w odpowiedzialnych za rozprzestrzenianie, zainstalowanie trojana i przywr贸cenie oryginalnej zawarto艣ci pliku /etc/cron.daily/0anacron;
  • modyfikuje plik konfiguracyjny /etc/ftpusers w celu umo偶liwienia anonimowemu u偶ytkownikowi dost臋pu poprzez ftp;
  • zatrzymuje serwisy: rpc.statd, rpc.rstatd oraz lpd;
  • zatrzymuje serwis klogd i zamienia plik /sbin/klogd na wcze艣niej skompilowany icmp. Nast臋pnie, wirus przywraca oryginalny plik klogd jako /usr/lib/klogd.o. i ponownie uruchamia nowy (zmodyfikowany przez wirusa) serwis klogd. Komponent icmp jest backdoorem, kt贸ry oczekuje na 77-bajtowy pakiet ICPM, otwiera port 65535, czeka na po艂膮czenie i inicjalizuje shellow膮 sesj臋 z uprawnieniami administratora. Umo偶liwia to nieautoryzowanemu, zdalnemu u偶ytkownikowi kontrolowanie zainfekowanego komputera;
  • gromadzi informacje o zainfekowanym systemie (adres IP, lista aktywnych proces贸w, historia komend, lista host贸w, zawarto艣膰 pliku zawieraj膮cego has艂a) i wysy艂a je pod adresy adore9000@21cn.com oraz adore9000@sina.com;
  • czy艣ci pliki raport贸w: /var/log/maillog oraz /var/log/messages.