Worm.Cheese

Jest to robak internetowy rozprzestrzeniaj膮cy si臋 w systemach zainfekowanych wirusem Ramen. Usuwa backdoor zainstalowane w systemie podczas wcze艣niejszych atak贸w jednak nie usuwa dziur w zabezpieczeniach systemu operacyjnego, zatem maszyny pozostaj膮 otwarte dla haker贸w.

Robak zawiera nast臋puj膮cy tekst:

# removes rootshells running from /etc/inetd.conf
># after a l10n infection... (to stop pesky haqz0rs
># messing up your box even worse than it is already)
># This code was not written with malicious intent. 
># Infact, it was written to try and do some good.

Mimo, i偶 intencje autora by艂y dobre, program ten jest kolejnym rozprzestrzeniaj膮cym si臋 "艣mieciem", kt贸ry poch艂ania zasoby komputera, takie jak czas procesora, miejsce na dysku oraz przepustowo艣膰 艂膮cza internetowego.

Szczeg贸艂y techniczne

Robak sk艂ada si臋 z trzech plik贸w nazwanych cheese, go oraz psm. Plik go uruchamia g艂贸wny kod wirusa, cheese zabezpiecza go przed zamkni臋ciem, natomiast psm jest g艂贸wnym modu艂em szkodnika. Napisany jest w j臋zyku Perl a jego rozmiar to 2 KB. W艂a艣nie ta cz臋艣膰 robaka odpowiedzialna jest za jego rozprzestrzenianie. Po uruchomieniu psm skanuje lokalizacj臋 /etc/inetd.conf w poszukiwaniu innych robak贸w i usuwa je.

Nast臋pnie robak przeszukuje adresy IP w poszukiwaniu host贸w pods艂uchuj膮cych port 10008. Zazwyczaj s膮 to maszyny zainfekowane robakiem Ramen. Gdy komputer taki zostanie odnaleziony, szkodnik uruchamia na nim skrypt, kt贸ry tworzy katalog /tmp/.cheese i uruchamia przegl膮dark臋 Lynx w celu pobrania swojej kopii. Skrypt uruchomiony na zdalnym komputerze dekoduje kod robaka, rozpakowuje go do katalogu /tmp/.cheese i uruchamia skrypt go, kt贸ry z kolei aktywuje robaka i ponownie rozpoczyna procedur臋 rozprzestrzeniaj膮c膮.