Worm.Linux.Mighty

Jest to robak internetowy atakuj膮cy komputery pracuj膮ce pod kontrol膮 systemu Linux z zainstalowanym serwerem WWW "Apache". Szkodnik wykorzystuje luk臋 w zabezpieczeniach SSL znajduj膮c膮 si臋 w module "mod_ssl". Luka ta zosta艂a wykryta 30 lipca 2002, a jej szczeg贸艂owy opis mo偶na znale藕膰 pod adresem http://www.kb.cert.org/vuls/id/102795.

Na ataki robaka podatne s膮 konfiguracje oparte na systemie Linux przeznaczonym dla platformy Intel x86, z zainstalowanym serwerem WWW Apache wykorzystuj膮cym OpenSSL starszy ni偶 0.9.6e oraz 0.9.7-beta. W nowszych wersjach luka wykorzystywana przez robaka zosta艂a zlikwidowana.

G艂贸wny komponent infekuj膮cy ma rozmiar oko艂o 19 KB i wykorzystuje cz臋艣膰 kodu popularnego wirusa "Slapper". Ponadto robak wyposa偶ony jest w funkcj臋 backdoor, kt贸ra 艂膮czy si臋 z serwerem IRC i przy艂膮cza si臋 do specjalnego kana艂u, poprzez kt贸ry zdalny u偶ytkownik mo偶e kontrolowa膰 zainfekowan膮 maszyn臋.

Szczeg贸艂y techniczne

Robak sk艂ada si臋 z zestawu czterech plik贸w o nazwach "devnull", "k", "sslx.c" oraz "script.sh", przechowywanych w katalogu "/tmp/.socket2".

"devnull" jest g艂贸wnym sk艂adnikiem odpowiedzialnym za rozprzestrzenianie. Szuka on komputer贸w, na kt贸rych port 443 jest otwarty. Backdoor (plik "k") ma rozmiar 37237 i zosta艂 skompilowany przy u偶yciu kodu popularnego bota IRC - "Age of Kaiten". Backdoor umo偶liwia zdalnemu u偶ytkownikowi wykonywanie operacji takich jak pobieranie plik贸w binarnych ze stron WWW i uruchamianie ich oraz zasypywanie zainfekowanego komputera "艣mieciami".

Trzeci sk艂adnik robaka - "sslx.c" - jest kodem wykonuj膮cym atak przepe艂nienia bufora OpenSSL. Jest on identyczny jak w przypadku robaka "Slapper". W kodzie mo偶na znale藕膰 nast臋puj膮cy komentarz:

* Linux Apache + OpenSSL exploit
*
* created by andy^ from the bugtraq.c source

Podczas przeprowadzania ataku sk艂adnik "sslx.c" pobiera z serwera WWW dodatkowy plik - "script.sh". Jest to skrypt odpowiedzialny za pobieranie oraz instalowanie modu艂u rozprzestrzeniaj膮cego i backdoora.

W celu oznaczenia zainfekowanego komputera robak tworzy plik "/tmp/.god_you_make_me_laugh_canin-boy".