shell.sh
sslx.c
devnull

El cuarto, llamado K, es un troyano del tipo backdoor de Linux, que ejecuta un servidor IRC en la máquina remota y aguarda comandos desde un canal de IRC. Estos comandos pueden iniciar ataques de denegación de servicio distribuidos (D.D.o.S), muchas computadoras, coordinadas simultáneamente, realizan ataques a un solo blanco.

Este tipo de ataque (Ataques de denegación de servicio distribuidos), permite el uso simultáneo de cientos o hasta miles de computadoras, todas actuando al mismo tiempo contra una misma víctima, un servidor o cualquier computadora conectada a Internet, la que recibe una sucesión de solicitudes de servicio, con tal frecuencia y cantidad, que al no poder ser respondidas van disminuyendo paulatinamente su rendimiento, ocasionando casi siempre la caída del sistema, además de la saturación del ancho de banda asignado.

El troyano es reconocido como Troj/Kaiten.E, y es una variante del Troj/Kaiten.D para Windows (http://www.vsantivirus.com/troj-kaiten-d.htm)

El gusano se comienza a propagar cuando el archivo DEVNULL se ejecuta y comienza a generar direcciones IP al azar. Una vez que una dirección IP válida es generada, DEVNULL intenta conectarse al puerto 80 de dicha computadora, para identificar si es un servidor Apache ejecutándose en Linux.

Si lo es, intenta conectarse a él por el puerto 443, para enviar el exploit al servicio SSL que está escuchando allí.

El exploit solo se ejecuta en computadoras con procesador Intel, y el código requiere la presencia del comando /bin/sh

Luego, el gusano compila el archivo SSLX.C utilizando el programa GCC. El programa SSLX, es ejecutado en el servidor remoto para intentar propagarse desde dicha máquina.

Este exploit, al ejecutarse en una máquina remota, se conecta a un sitio Web y descarga el script SHELL.SH.

El script SHELL.SH a su vez, intenta descargar, descomprimir y ejecutar los otros dos archivos:

k.gz
devnull.tar.gz

Recomendaciones

El gusano depende de la presencia del compilador "gcc" en la computadora infectada para funcionar correctamente. Además dicho software debe tener permiso de ejecución de parte del usuario de Apache. Por lo tanto, una medida de protección sería quitar "gcc" del sistema o limitar su acceso.


Reparación manual

Para borrar manualmente el virus, primero que nada, asegúrese de actualizar sus antivirus para Linux con las últimas definiciones, luego proceda a revisar su sistema.

El gusano puede ser borrado, matando con el comando "kill" de Unix, el proceso "devnull".

Además, los siguientes archivos deben ser eliminados:

/tmp/shell.sh
/tmp/sslx.c
/tmp/devnull

No se han detectado instrucciones que permitan al gusano reiniciarse por si solo.

Se sugiere aislar el sistema infectado de cualquier conexión a redes e Internet hasta completar el procedimiento de eliminación del gusano.

Luego, siga las instrucciones del siguiente artículo para solucionar la vulnerabilidad en OpenSSL que permite la ejecución del gusano:

OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow
http://online.securityfocus.com/bid/5363/solution


Más información:

Linux.Slapper.Worm, un gusano P2P para servidores Apache
http://www.vsantivirus.com/slapper.htm

CERT® Advisory CA-2002-23 Multiple Vulnerabilities In OpenSSL
http://www.cert.org/advisories/CA-2002-23.html

The OpenSSL security advisory 
http://www.openssl.org/news/secadv_20020730.txt

Debian security advisory
http://www.debian.org/security/2002/dsa-136

Mandrake security advisory
http://www.mandrakelinux.com/en/security/2002/MDKSA-2002-046.php

RedHat security advisory
http://rhn.redhat.com/errata/RHSA-2002-155.html

SuSE security advisory
http://www.suse.com/de/security/2002_027_openssl.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com