Connect with us

technokrata

FreeBSD.Scalper.Worm – féreg nem windowsos környezetben

Dotkom

FreeBSD.Scalper.Worm – féreg nem windowsos környezetben

A féreg az Apache HTTP szerver veremtúlcsordulásos hibáját igyekszik kihasználni terjedésére.

A vírus paraméterei

Felfedezésének ideje: 2002. június 28.
Védekezés elkészültének ideje: 2002. június 28.
Veszélyeztetett rendszerek: FreeBSD
Nem érintett operációs rendszerek: Windows 3.x/9x/NT/2k/XP/Me, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 51.626, 51.199 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: közepes
Károkozás mértéke: alacsony
Eltávolítása: könnyű

A féreg rendelkezik egy jókora IP-tartománnyal, amelyet végignézve olyan számítógépek után kutat, melyek ki vannak téve a fent említett veszélynek. Ugyan csak az IP első számjegye van eltárolva a féregben, de még ez is roppant nagy tartományt fed le. Az egyes kereséseknél a 4 tagú IP-cím első része ebből, a második egy véletlenszerűen generált számból (értelemszerűen 0-255 között) áll, míg a harmadik és negyedik szám mindegyikét megkísérli végignézni.

Az összes IP-címen található számítógép 80-as HTTP portjára egy GET kérelmet küld. Ahol Apache szervert talál, mely ki van téve a veremtúlcsordulásos hibának, nyert ügye van, hiszen futtathat egy távoli shell parancsot.

Magát UUEnkódolt formátumban küldi el a távoli rendszerbe /tmp/.uua file-ként, majd dekódolja magát /tmp/.a néven és futtathatóvá is teszi magát. Ezek után lefuttatja a bejutott állományt, illetve előtte az esetleges korábbi féregverziókat letörli.

Megnyitja a 2001-es UDP portot távoli vezérlés figyelésére, melyek a következők lehetnek:
– e-mailcímek gyűjtése a megfertőzött számítógépről
– weblapok megtekintése
– TPC, UDP, DNS floodolás
– shell parancsok végrehajtása
– egyéb DoS funkciók



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek