B膮d藕 na bie偶膮co! Kana艂y RSS 

Zagro偶enia

Porady

Pytania i odpowiedzi
Jak to zrobi膰?

Polecamy

Sponsorzy





Encyklopedia wirus贸w

Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wielocz臋艣ciowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirus贸w | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazuj膮ce na nich wirusy | Konie troja艅skie | Wirusy skryptowe | Robaki | 呕arty oraz programy nie b臋d膮ce wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

  

I-Worm.Scalper

Scalper (zwany r贸wnie偶 "FreeBSD.Scalper.worm", "ELF/FreeApworm", "ELF_SCALPER.A") jest robakiem internetowym infekuj膮cym serwery FreeBSD wykorzystuj膮c luk臋 w zabezpieczeniach popularnego serwera WWW "Apache". Wirus dzia艂a r贸wnie偶 jako backdoor.

Robak wykorzystuje dziur臋 w zabezpieczeniach nast臋puj膮cych wersji serwera "Apache": 1.3.x do 1.3.24, wszystkie wersje 2.0.x do 2.0.36 oraz wszystkie wersje 1.2.x. W celu za艂atania luki nale偶y zainstalowa膰 uaktualnion膮 wersj臋 "1.3.26"/"2.0.39" lub nowsz膮. Wi臋cej informacji na temat luki w zabezpieczeniach mo偶na znale藕膰 pod poni偶szymi adresami:

http://httpd.apache.org/info/
security_bulletin_20020620.txt

http://www.cert.org/advisories/CA-2002-17.html

Szczeg贸艂y techniczne dotycz膮ce robaka

Robak atakuje losowo wygenerowane klasy adres贸w IP o formacie a.b.x.x, gdzie:

  • element "a" jest wybierany z tablicy sk艂adaj膮cej si臋 z 162 element贸w;
  • element "b" jest generowany losowo;
  • elementy "c" i "d" s膮 zwi臋kszane od "0.0" do "255.255"

Po wygenerowaniu adresu IP robak sprawdza czy nie prowadzi on z powrotem do lokalnej maszyny (mo偶e si臋 tak dzia膰 w przypadku adresu IP o formacie 127.x.x.x), po czym pr贸buje wys艂a膰 poprzez port 80 polecenie "GET /" w celu sprawdzenia, czy na atakowanej maszynie uruchomiona jest "odpowiednia" wersja serwera "Apache". Je偶eli odpowied藕 serwera zawiera ci膮g "Apache", robak atakuje serwer poprzez luk臋 w zabezpieczeniach zwan膮 "Server Chunk Handling" wysy艂aj膮c zawarto艣膰 dw贸ch specjalnie przygotowanych bufor贸w (jest to mo偶liwe tylko w dw贸ch wersjach serwera "Apache": 1.3.20 oraz 1.3.22-24). Je偶eli wykonywanie powy偶szych operacji zako艅czy si臋 pomy艣lnie, wirus wysy艂a si臋 w formacie UUENCODE do katalogu "/tmp", rozpakowuje si臋 jako "/tmp/.a" i uruchamia si臋.

Po uruchomieniu robak ponownie wykonuje procedur臋 rozprzestrzeniaj膮c膮 oraz aktywuje w艂asny komponent backdoor na porcie UDP 2001. Backdoor akceptuje wiele komend, w tym: bombardowanie zdalnych system贸w pakietami UDP, TCP, DNS oraz RAW, uruchamianie lokalnych polece艅, pobieranie i uruchamianie binari贸w ze zdalnych komputer贸w poprzez HTTP, wysy艂anie wiadomo艣ci e-mail, wysy艂anie informacji o zainfekowanym komputerze itd.

Robak szyfruje komunikacj臋 z backdoorem, jednak jest to szyfrowanie statyczne, u偶yte prawdopodobnie w celu ukrycia przed bezpo艣redni膮 analiz膮 ruchu.


Strona g艂贸wna | Nowo艣ci | Artyku艂y | Raporty | Kontakt | Polityka plik贸w cookie
Copyright © 2023 WirusPC.pl