4 października 2002

Worm.Linux.Mighty - linuksowa plaga

"Mighty" jest robakiem internetowym atakującym komputery pracujące pod kontrolą systemu Linux z zainstalowanym serwerem WWW "Apache". Szkodnik wykorzystuje lukę w zabezpieczeniach SSL znajdującą się w module "mod_ssl". Luka ta została wykryta 30 lipca 2002, a jej szczegółowy opis można znaleźć pod adresem http://www.kb.cert.org/vuls/id/102795.

Na ataki robaka podatne są konfiguracje oparte na systemie Linux przeznaczonym dla platformy Intel x86, z zainstalowanym serwerem WWW Apache wykorzystującym OpenSSL starszy niż 0.9.6e oraz 0.9.7-beta. W nowszych wersjach luka wykorzystywana przez robaka została zlikwidowana.

Główny komponent infekujący ma rozmiar około 19 KB i wykorzystuje część kodu popularnego wirusa "Slapper". Ponadto robak wyposażony jest w funkcję backdoor, która łączy się z serwerem IRC i przyłącza się do specjalnego kanału, poprzez który zdalny użytkownik może kontrolować zainfekowaną maszynę.

Szczegóły techniczne

Robak składa się z zestawu czterech plików o nazwach "devnull", "k", "sslx.c" oraz "script.sh", przechowywanych w katalogu "/tmp/.socket2".

"devnull" jest głównym składnikiem odpowiedzialnym za rozprzestrzenianie. Szuka on komputerów, na których port 443 jest otwarty. Backdoor (plik "k") ma rozmiar 37237 bajtów i został skompilowany przy użyciu kodu popularnego bota IRC - "Age of Kaiten". Backdoor umożliwia zdalnemu użytkownikowi wykonywanie operacji takich jak pobieranie plików binarnych ze stron WWW i uruchamianie ich oraz zasypywanie zainfekowanego komputera "śmieciami".

Trzeci składnik robaka - "sslx.c" - jest kodem wykonującym atak przepełnienia bufora OpenSSL. Jest on identyczny jak w przypadku robaka "Slapper". W kodzie można znaleźć następujący komentarz:

* Linux Apache + OpenSSL exploit
*
* created by andy^ from the bugtraq.c source

Podczas przeprowadzania ataku składnik "sslx.c" pobiera z serwera WWW dodatkowy plik - "script.sh". Jest to skrypt odpowiedzialny za pobieranie oraz instalowanie modułu rozprzestrzeniającego i backdoora.

W celu oznaczenia zainfekowanego komputera robak tworzy plik "/tmp/.god_you_make_me_laugh_canin-boy".