Подробности о черве, поражающем web-сервера Apache

05.07.2002 | 15:26
1 июля мы сообщали о появлении интернет-червя, поражающего уязвимые веб-сервера Apache под управлением операционной системы FreeBSD.

Лаборатория Касперского раскрывает подробности работы данного червя, получившего название Scalper ("FreeBSD.Scalper.worm", "ELF/FreeApworm", "ELF_SCALPER.A").

Кроме возможности массовой рассылки своих копий, червь содержит backdoor компоненту, которая позволяет управлять зараженным сервером.

Червь атакует компьютеры по случайно-сгенерированному IP адресу. Формат IP адреса a.b.x.x, где "a" выбирается из массива со 162-мя значениями, "b" полностью случайное число в диапазоне от 0 до 255 и "x.x" выбираются последовательным перебором от "0.0" до "255.255". Для каждого сгенерированного IP адреса червь проверяет на совпадение его с адресом локального компьютера 127.x.x.x. Если совпадения не было, то червь пытается соединиться по этому IP адресу через порт 80. Он посылает запрос со строкой "GET /". Если сервер отвечает на запрос строкой со словом "Apache", то червь пытается пробить его защиту. Для этого он посылает набор из двух блоков данных, которые взламывают защиту для Apache сервера версий 1.3.20 и 1.3.22-24. Если взлом удался, то червь пересылает себя в кодированном виде UUENCODE в каталог "/tmp", распаковывает и запускает. После запуска червь продолжает цикл размножения, ищет другие жертвы и активирует backdoor компоненту для порта 2001 UDP. Backdoor компонента обрабатывает широких набор команд, среди которых: наводнение пакетами UDP, TCP, DNS и RAW заданного компьютера в сети; запуск файлов на локальном компьютере; загрузка бинарных файлов с другого компьютера по протоколу HTTP и запуск их на локальном; рассылка почтовых сообщений; отсылка информации о конфигурации локального компьютера.

Все запросы для backdoor компоненты зашифрованы, но шифровка постоянна и, скорее всего, используется для защиты от анализаторов интернет трафика.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.viruslist.com
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код