6 lipca 2001

Worm.Linux.Adm - wielelementowy robak

Jest to robak internetowy infekujący komputery działające pod kontrolą systemu Linux. Szkodnik rozprzestrzenia się wykorzystując dziurę w zabezpieczeniach Linuksa (przepełnienie bufora) umożliwiającą zdalne umieszczenie na zainfekowanej maszynie programu, który pobiera i uruchamia główny komponent wirusa.

Robak jest wieloelementowy - składa się z 8 plików, wśród których znajdują się skrypty oraz moduły wykonywalne. Skrypty są plikami ".sh" natomiast moduły wykonywalne to standardowe dla Linuksa pliki ELF.

Główne komponenty wirusa znajdują się w plikach ".sh", które uruchamiane są jako hosty i odczytują zawartość pozostałych plików w celu wykonania żądanych procedur.

Poniżej znajduje się lista komponentów robaka:

ADMw0rm, Hnamed, gimmeIP, remotecmd, gimmeRAND, scanco, incremental, test

Rozprzestrzenianie

Rozprzestrzenianie (infekowanie zdalnej maszyny działającej pod kontrolą systemu Linux) polega na przepełnieniu bufora atakowanej maszyny. Robak wysyła do niej specjalny pakiet, który posiada blok odpowiednio przygotowanych danych. Blok ten jest następnie uruchamiany na infekowanym komputerze, inicjuje połączenie, pobiera pozostałe elementy wirusa i uruchamia je. Od tego momentu rozpoczyna się dalsze rozprzestrzenianie robaka.

Robak jest przenoszony między atakowanymi maszynami w postaci archiwum TGZ (standardowe archiwum systemu UNIX) z nazwą "ADMw0rm.tgz". Podczas infekowania nowego komputera robak rozpakowuje archiwum, uruchamia swój główny plik "ADMw0rm", który z kolei aktywuje pozostałe komponenty.

Szczegóły techniczne

Aby uzyskać adresy IP zdalnych maszyn robak skanuje globalne zasoby sieciowe w poszukiwaniu adresów IP komputerów z zainstalowanymi serwerami DNS.

Podczas atakowania komputera robak wykorzystuje dziurę w zabezpieczeniach demona "named".

W celu załadowania i uruchomienia swojej kopii na zdalnej maszynie, robak przepełnia jej bufor, uzyskuje prawa użytkownika "root", uruchamia powłokę i wykonuje następujące operacje:

  • uruchamia demona "/usr/sbin/named"
  • tworzy katalog "/tmp/.w0rm0r", w którym umieszczane zostanie pobrane archiwum TGZ
  • uruchamia "ftp" (standardowy program systemu Linux), który pobiera plik TGZ z już zainfekowanej maszyny
  • rozpakowuje wszystkie swoje komponenty umieszczone w archiwum TGZ
  • uruchamia swój główny komponent "ADMw0rm"

Funkcje dodatkowe

Robak posiada kilka dodatkowych procedur.

Po pierwsze wyszukuje na zainfekowanej maszynie wszystkie pliki "index.html" i nadpisuje je treścią:

The ADM Inet w0rm is here!

Szkodnik usuwa plik "/etc/hosts.deny". Plik ten zawiera listę hostów, krórzy nie mają prawa dostępu do systemu.

Gdy nowy system zostanie zainfekowany robak wysyła "powiadomienie" pod adres "admsmb@hotmail.com".