24 maja 2001

Worm.Cheese - miał być "dobry"

Jest to robak internetowy rozprzestrzeniający się w systemach zainfekowanych wirusem Ramen. Cheese usuwa backdoor'y zainstalowane w systemie podczas wcześniejszych ataków jednak nie usuwa dziur w zabezpieczeniach systemu operacyjnego, zatem maszyny pozostają otwarte dla hakerów.

Robak zawiera następujący tekst:

# removes rootshells running from /etc/inetd.conf
># after a l10n infection... (to stop pesky haqz0rs
># messing up your box even worse than it is already)
># This code was not written with malicious intent.
># Infact, it was written to try and do some good.

Mimo iż intencje autora były dobre, program ten jest kolejnym rozprzestrzeniającym się "śmieciem", który pochłania zasoby komputera, takie jak czas procesora, miejsce na dysku oraz przepustowość łącza internetowego.

Szczegóły techniczne

Robak składa się z trzech plików nazwanych "cheese", "go" oraz "psm". "go" uruchamia główny kod wirusa, "cheese" zabezpiecza go przed zamknięciem, natomiast "psm" jest głównym modułem szkodnika. Napisany jest w języku Perl a jego rozmiar to 2 kB. Właśnie ta część robaka odpowiedzialna jest za jego rozprzestrzenianie. Po uruchomieniu "psm" skanuje "/etc/inetd.conf" w poszukiwaniu serwisów usiłujących uruchomić "/bin/sh" (najczęściej są to robaki) i usuwa je.

Następnie robak przeszukuje adresy IP w poszukiwaniu hostów podsłuchujących port 10008. Zazwyczaj są to maszyny zainfekowane robakiem Ramen. Gdy komputer taki zostanie odnaleziony, wirus uruchamia na nim skrypt, który tworzy katalog "/tmp/.cheese" i uruchamia przeglądarkę Lynx w celu pobrania swojej kopii. Skrypt uruchomiony na zdalnym komputerze dekoduje kod robaka, rozpakowuje go do katalogu "/tmp/.cheese" i uruchamia skrypt "go", który z kolei aktywuje robaka i ponownie rozpoczyna procedurę rozprzestrzeniającą.