Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: Linux.Adore.Worm. Diseñado para crear puertas traseras
 
VSantivirus No. 272 - Año 5 - Viernes 6 de abril de 2001

Nombre: Linux.Adore.Worm
Tipo: Gusano de Linux
Alias: Red Worm, Linux.Red.Worm, Linux/Adore, Linux/Red
Fecha: 4/abr/01

Se trata del tercer gusano reportado, que afecta los sistemas Linux, en los últimos meses. Adore es un gusano diseñado para crear puertas traseras en la seguridad de los sistemas Linux, y enviar información sobre los mismos a cuatro diferentes direcciones de correo electrónico de servidores de China y Estados Unidos.

Una gran cantidad de escaneos al puerto 515 de su sistema, puede ser una indicación de la presencia del gusano.

Se recomienda utilizar los parches que se mencionan al final de esta descripción, para bloquear las vulnerabilidades que hacen que este gusano pueda propagarse.

Como los gusanos anteriores, Ramen y Lion, Adore explota cuatro de las vulnerabilidades ya conocidas en las plataformas Linux.

Podría ser una evolución del Ramen, que explotaba tres de estas vulnerabilidades en programas utilizados por defecto en casi todas las plataformas Linux. Lion por su parte, explotaba otra vulnerabilidad relativa a los servidores de nombres que utilizan BIND. Ramen se aprovecha también de esta vulnerabilidad.

Adore explota las cuatro fallas ya conocidos: LPRng, rpc-statd, wu-ftpd y BIND.

Todas ellas poseen desde hace tiempo los parches que las corrigen, pero muchos administradores no los han instalado, volviendo vulnerables sistemas que no deberían serlo.

El gusano es capaz de examinar todos los sistemas Linux conectados a la red, y si detecta estas fallas, puede aprovecharse de estos sistemas vulnerables para instalarse en ellos.

Una vez allí, crea "backdoors" (puertas traseras), que permiten el ataque premeditado a estos sistemas. Avisa de esto a cuatro direcciones de correo electrónico de servidores ubicados en China y Estados Unidos. Luego de ello, el gusano busca otros sistemas vulnerables para infectarlos.

Una vez en el sistema infectado, el gusano intenta bajar un archivo .TAR de la dirección go.l163.com. Este sitio ha sido dado de baja, causando que el gusano no pueda cumplir todas sus acciones.

Si este archivo fuera descargado, el gusano realiza estas tareas:

Descomprime el archivo .TAR en /usr/lib/lib y ejecuta un script, que lanza la rutina principal del propio gusano.

Reemplaza el programa del sistema PS (usado por los administradores para listar los programas que se están ejecutando) con una versión troyanizada, guardando el original en /usr/bin/adore.

Agrega un script al sistema, en /etc/cron.daily/0anacron. Este se ejecuta cuando el proceso "daily cron" se corre, lo que ocurre en una configuración por defecto a las 4:02 a.m. Este script mata todos los procesos excepto el backdoor instalado, reiniciando el sistema, o utilizando killall en los procesos apropiados. El script también reemplaza al troyanizado PS. Esto permite al gusano propagarse por una cantidad limitada de tiempo, pero reduce las posibilidades de ser descubierto.

También modifica o agrega servicios y procesos (ftp, rpc.statd, rpc.rstatd, lpd), para prevenir que algunas vulnerabilidades sean explotadas por otros atacantes.

También reemplaza el "Kernel message logger" (klogd), por un programa del tipo backdoor, que utiliza ICMP en lugar de TCP o UDP. Este backdoor permite el acceso al root shell, a través del puerto 65535.

Luego de eso, el gusano envía información a dos de cuatro direcciones ubicadas en China. Esta información incluye dirección IP, lista de procesos, historial, archivos host y archivos de contraseñas (shadow password). Utiliza como nombre de usuario de estos mensajes uno de los siguientes: "adore9000" o "adore9001".

Por último, el gusano examina otros sistemas vulnerables en la red, y si los encuentra, repite el proceso anterior.

Para quitar el gusano de un sistema infectado, se aconseja la reinstalación de Linux.

Parches e información:

LPRng:
http://www.cert.org/advisories/CA-2000-22.html

wu-ftpd 2.6:
http://www.cert.org/advisories/CA-2000-13.html

Bind:
http://www.cert.org/advisories/CA-2001-02.html

rpc.statd:
http://www.cert.org/advisories/CA-2000-17.html

Debian GNU/Linux:
http://www.debian.org/security/

Linux Mandrake:
http://www.linux-mandrake.com/en/security/

SuSE:
http://www.suse.com/en/support/security/index.html

RedHat Linux:
http://www.redhat.com/support/errata/


Ver también:
21/may/01 - Linux/Cheese.worm. ¿Un virus "benigno"?
24/mar/01 - Linux/Lion.worm. Peligrosa amenaza para servidores Linux
 19/ene/01 - Linux.Ramen.Worm. Se propaga a gran velocidad en Linux
 04/feb/01 - Sobre las vulnerabilidades BIND 		 

Copyright 1996-2001 Video Soft BBS