Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
17.09.2002 - Martin LEPIŠ - Popisy vírusov
Linux/Slapper.A - .C  (aktualizované dňa 25.9.2002)

Počet škodlivých kódov pre masovo používané OS akými sú bezpochyby MS Windows a Linux vzrastá každým mesiacom. Vzhľadom na aktuálny vývoj sme si už viac-menej zvykli na to, že množstvo škodlivých kódov pre OS MS Windows je rádovo niekoľkonásobne väčšie ako pre samotný OS Linux. Nemožno však v žiadnom prípade tvrdiť, že by boli tvorcovia počítačových vírusov a červov pre OS Linux nejako extrémne pasívni... . Pracujú síce pomalšie ako ich konkurencia zameriavajúca sa na OS MS Windows, no vždy keď sa im naskytne možnosť predvedú, čo skutočne dokážu. Nie je tomu inak ani tentoraz, kedy s využitím bezpečnostnej diery v rámci web servera Apache pre Linux vytvorili plnohodnotný internetovský červ Linux/Slapper, ktorý je akýmsi ekvivalentom CodeRedu pre OS Linux.

Linux/Slapper.A
... predstavuje internetovský červ, ktorý sa rovnako ako červ CodeRed šíri výlučne prostredníctvom počítačovej siete, t.j. protokolu TCP/IP bez nutnosti rozposielania zdrojového – infikovaného súboru prostredníctvom emailových správ a ich príloh. Výkonné jadro červa využíva pre svoje šírenie novo objavenú bezpečnostnú dieru – OpenSSL Buffer Overflow (... viac informácií o tejto chybe nájdete tu), v rámci web servera Apache určeného pre nasadenie na platforme OS Linux – SuSe, Mandrake, RedHat, Slackwave a Debian. Mimochodom, na systémoch MS Windows disponujúcich web serverom Apache sa červ šíriť nedokáže!!!
Ako už bolo spomenuté vyššie červ sa šíri výlučne prostredníctvom počítačovej siete Internet, v rámci ktorej sa snaží prostredníctvom protokolu HTTPD kontaktovať náhodne vygenerované IP adresy vzdialených počítačov na porte 80 za účelom zistenia, či sa jedná o aktívny web server Apache (... využíva pri tom neštandardný formát sieťového príkazu GET). V prípade, že sa vzdialený systém identifikuje ako web server Apache bežiaci na platforme OS Linux a procesore kompatibilnom s architektúrou Intel, červ naň za použitia bezpečnostnej diery OpenSSL Buffer Overflow zašle cez port 443 svoje vlastné zakódované telo, vo forme súboru .UUBUGTRAQ. Tento súbor je po úspešnom prijatí vzdialeným systémom uložený automaticky do adresára /TMP, kde dôjde k jeho dekódovaniu a vzniku nového súboru .BUGTRAQ.C (... jedná sa o zdrojový kód samotného červa napísaný v jazyku C). Následne potom sa červ pokúsi vykonať kompiláciu kódu uloženého v tomto súbore za pomoci príkazového riadku – shellu a aplikácie GCC. Tým sa zo zdrojového kódu stane kód spustiteľný, ktorý červ uloží do súboru .BUGTRAQ v rámci adresára /TMP a spustí ako klasickú aplikáciu. Dôležitou maličkosťou pri aktivácii súboru .BUGTRAQ je udanie doplnkového parametra, t.j. IP adresy vzdialeného systému, z ktorého červ daný systém infikoval. Červ sa takýmto spôsobom snaží vytvoriť akúsi informačnú sieť o už infikovaných systémoch.
Okrem toho tento červ na každom infikovanom systéme vytvára tzv. zadné vrátka, prostredníctvom ktorých je možné na daný systém vzdialene zaútočiť a uskutočniť tzv. DDoS (Distributed Denied of Service) útok. Za týmto účelom červ "načúva" vzdialeným príkazom prostredníctvom UDP na porte 2002. Po úspešnom zvládnutí aj tejto poslednej úlohy sa celý proces šírenia červa opäť začína opakovať, t.j. červ si začne prostredníctvom počítačovej siete náhodne vyhľadávať svoju ďalšiu "obeť"... .

Elimináciu červa Linux/Slapper.A z infikovaného systému je možné vykonať dvoma spôsobmi. Prvým je možnosť použitia AV-systému, ktorého databáza vírusových reťazcov bola doplnená o vzorku tohto červa. Druhý spôsob si vyžaduje manuálny zásah do systému, pri ktorom je nutné odstrániť z pamäte proces s názvom BUGTRAQ, z adresára /TMP odstrániť súbory .BUGTRAQ, .BUGTRAQ.C, .UUBUGTRAQ. Odporúčame tiež vypnúť server Apache a vykonať aktualizáciu knižnice OpenSSL za najnovšiu verziu, ktorá už obsahuje opravenú vyššie spomínanú bezpečnostnú chybu.

Linux/Slapper.B
... jedná sa modifikovaný variant pôvodnej verzie internetovského červa Linux/Slapper.A, ktorý poniektoré AV-spoločnosti označili tiež názvom Cinik. Základný rozdiel s predchádzajúcim variantom spočíva v tom, že červ zasiela na vzdialený systém svoje telo v zakódovanej podobe, ktoré automaticky umiestni do adresára /TMP a súboru .CINIK.UU. Jeho obsah následne dekóduje a uloží do súboru .CINIK.C, pričom sa pokúsi vykonať kompiláciu kódu uloženého v tomto súbore za pomoci shellu a aplikácie GCC. Tým sa zo zdrojového kódu stane kód spustiteľný, ktorý červ uloží do súboru .CINIK opäť v rámci adresára /TMP a spustí ako klasickú aplikáciu. Zároveň červ vytvára a aktivuje z adresára /TMP súbor .CINIK.GO obsahujúci modifikované telo červa vo forme tzv. batch skriptu. Jeho úlohou je po spustení prostredníctvom emailovej správy zaslať autorovi škodlivého kódu sumárne informácie o konfigurácii systému, ktorý bol práve infikovaný a vytvoriť svoju kópiu v každom adresári, do ktorého má prístup aj používateľ využívajúci služby servera Apache.
Ďalšou výraznou odlišnosťou tohto variantu je to, že červ vytvára na každom infikovanom systéme tzv. zadné vrátka slúžiace pre neskorší útok typu DDoS (Distributed Denied of Service), prostredníctvom UDP avšak na porte 1978. Pre lepšiu ochranu červ tiež sleduje operácie vykonávané so súborom .CINIK.C. Ak sa správca systému pokúsi o jeho priame odstránenie červ automaticky nadviaže spojenie s nemenovanou rumunskou web stránkou, stiahne si z nej kópiu tohto súboru a opäť ju uloží na disk infikovaného systému (... podľa aktuálnych informácií by už mala byť daná web stránka zrušená).

Pri eliminácii červa Linux/Slapper.B je možné postupovať podobne ako pri predchádzajúcom variante, až na to, že z pamäte treba odstrániť proces CINIK a z disku súbory s vyššie spomínanými názvami. Aj v tomto prípade odporúčame pre túto operáciu použiť aktualizovaný AV-systém a dodatočne vykonať aj aktualizáciu knižnice OpenSSL pre web server Apache.

Linux/Slapper.C
... v poradí už tretí variant tohto internetovského červa sa líši od Linux/Slapper.A najmä v tom, že "načúva" vzdialeným príkazom prostredníctvom UDP na porte 4156 a v systéme vytvára nové súbory s odlišnými názvami. Svoje telo zasiela na vzdialený systém v zakódovanej podobe, ktoré automaticky umiestni do adresára /TMP a súboru .UNLOCK.UU. Jeho obsah následne dekóduje a uloží do súboru .UNLOCK.C, pričom sa pokúsi vykonať kompiláciu kódu uloženého v tomto súbore za pomoci shellu a aplikácie GCC. Tým sa zo zdrojového kódu stane kód spustiteľný, ktorý červ uloží do súboru .HTTPD v adresári /TMP a spustí ako klasickú aplikáciu (... zároveň odstráni takmer všetky na počiatku vytvorené súbory). Mimochodom, rovnako ako variant Linux/Slapper.B dokáže aj Linux/Slapper.C informovať svojho tvorcu prostredníctvom emailových správ o IP adresách všetkých infikovaných systémov.

Pri eliminácii variantu Linux/Slapper.C je nutné najprv ukončiť činnosť servera Apache, z pamäte odstrániť proces s názvom HTTPD a z disku súbor .UNLOCK. Pred opätovnou aktiváciou servera Apache odporúčame neodkladne vykonať aktualizáciu knižnice OpenSSL za najnovšiu verziu.


Nuž ako je vidieť, bezpečnostné diery a závažné nedostatky v masovo používaných aplikáciách sa v kombinácii so škodlivými kódmi čoraz častejšie stávajú reálnymi a vážnymi hrozbami pre nás všetkých (... v tomto prípade treba brať do úvahy nielen chyby na úrovni aplikácií pre OS Linux, ale aj MS Windows).



Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.