Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Linux.Slapper.Worm, un gusano P2P para servidores Apache
 
VSantivirus No. 799 - Año 6 - Domingo 15 de setiembre de 2002
VSantivirus No. 807 - Año 6 - Lunes 23 de setiembre de 2002

Linux.Slapper.Worm, un gusano P2P para servidores Apache
http://www.vsantivirus.com/slapper.htm

Nombre: Linux.Slapper.Worm
Tipo: Gusano de Internet (Linux)
Variantes: Slapper.A, Slapper.B (Unlock), Slapper.C (Cinik)
Alias: Slapper, Apache/mod_ssl Worm, Linux/Slapper-A, Linux.Slapper-Worm, Slapper.source, Bugtraq, Unlock, Cinik
Fecha: 13/set/02, 22/set/02, 23/set/02
Plataformas: Linux

El gusano Linux.Slapper.Worm explota sendas vulnerabilidades en los protocolos OpenSSL usados por servidores como Linux Apache.

Las fallas explotadas, fueron publicadas a finales del pasado mes de julio, por "The OpenSSL Group", pero como suele ocurrir, existen muchos usuarios que no han actualizado sus versiones.

Una de las características de este gusano, es que se trata del primero que hace uso de la tecnología de redes Peer-To-Peer (P2P) a nivel de servidor en Linux, lo que permite que los servidores infectados sigan conectados entre si mediante protocolos propios.

Esto habilita una multitud de posibilidades al atacante que se aproveche de su acción. El gusano, es capaz de capturar direcciones de correo electrónico, y posiblemente futuras versiones o actualizaciones podrían ser más destructivas.

El viernes, primer día que fue reportado, se llegó a más de 2000 infecciones detectadas en Portugal y Rumania, países donde ocurrieron las primeras infecciones.

El gusano puede infectar servidores Linux con software de Red Hat, Mandrake, Caldera, Slackware o Debian, cuyos protocolos SSL (Secure Sockets Layer) de OpenSSL Group's no hayan sido actualizados a la versión 0.9.6g. Esta versión soluciona la falla reportada en julio en OpenSSL, lo cuál impide el funcionamiento del gusano.

SSL (Secure Sockets Layer), es un protocolo de seguridad estándar que proporciona privacidad para datos y mensajes, y que permite autenticar los datos enviados. Básicamente se utiliza para transmitir información personal o relacionada con tarjetas de crédito de los usuarios a través de Internet.

Generalmente las direcciones de páginas Web que utilizan conexiones SSL, comienzan con ‘https:’ en lugar del estándar ‘http:’.

Lo que más preocupa a los expertos, es que el gusano utiliza su propio protocolo para conectarse a redes Peer-To-Peer (las redes "par a par" permiten conexiones computadora a computadora, y el ejemplo más cercano para los usuarios domésticos, son las redes como KaZaa o Morpheus, las cuáles aplican este tipo de comunicación).

El hecho de utilizar un protocolo propio, permite implementar cualquier clase de comandos, incluso destructivos, y enviarlos a todos los host infectados sin ningún tipo de alerta que pueda interceptarlo.

Linux.Slapper.Worm hace su aparición curiosamente al cumplirse un año del descubrimiento de otro gusano también de propagación masiva, el Nimda. Nimda llegó a provocar problemas de negación de servicio por la gran actividad de escaneo buscando nuevas computadoras, lo que comprometía el rendimiento de las redes involucradas debido al gran consumo de ancho de banda.

Slapper va un paso más allá, estableciendo enlaces entre las máquinas Linux que infecta, en lugar de buscarlas como hacía Nimda en máquinas Windows.


VARIANTE: Slapper.A

El gusano explota un desbordamiento de búfer del software OpenSSL, para ejecutar un shell en el sistema infectado.

El gusano intenta conectarse a través del puerto 80 (petición HTML normal) con instrucciones GET inválidas, para detectar el sistema (servidor Apache en Linux).

Luego, intentará una conexión a través del puerto TCP 443, enviando códigos que le permiten monitorear la presencia de un servicio SSL en la máquina infectada.

El código usado por el gusano en el Shell creado en Linux, solo funciona en procesadores de Intel. También requiere que el shell se encuentre en la ubicación /bin/sh para poder ejecutarse.

El gusano crea una copia uuencodeada de si mismo en /tmp/.uubugtraq, y utilizando su propia rutina de desencriptación (comando UU encoding), se descodifica en el archivo /tmp/.buqtraq.c

La única manera de mostrar el archivo ".bugtraq.c" con el comando "ls" es si se usa con el parámetro "-a" (ls -a).

Luego, el gusano utiliza el compilador "gcc" para crear una copia ejecutable de si mismo en /tmp/.bugtraq.

Este binario es ejecutado con una dirección IP como parámetro. Esta dirección corresponde a la máquina del atacante y se utiliza para crear una red de sistemas infectados por el gusano con el propósito de ejecutar ataques de denegación de servicio.

Cada sistema comprometido, queda a la escucha por el puerto UDP 2002, esperando otras instrucciones.

El gusano utiliza una tabla propia para generar direcciones IP de clase A, lo que le permite acceder a nuevas máquinas que estén corriendo servidores Apache.

El gusano solo funciona en computadoras con procesador Intel, ejecutando las siguientes distribuciones de Linux, y con el servidor Apache y OpenSSL anterior a la versión 0.9.6g habilitados:

Red Hat
SuSE
Mandrake
Slackware
Debian

Slapper es muy similar al gusano Scalper (ver "Scalper, el gusano que ataca la vulnerabilidad de Apache", http://www.vsantivirus.com/scalper.htm), y su teoría de propagación parecida a la del famoso CodeRed (http://www.vsantivirus.com/codered.htm) que infectaba servidores IIS de Microsoft (julio de 2001).


Recomendaciones

El gusano depende de la presencia del compilador "gcc" en la computadora infectada para funcionar correctamente. Además dicho software debe tener permiso de ejecución de parte del usuario de Apache. Por lo tanto, una medida de protección sería quitar "gcc" del sistema o limitar su acceso.


Reparación manual

Para borrar manualmente el virus, primero que nada, asegúrese de actualizar sus antivirus para Linux con las últimas definiciones, luego proceda a revisar su sistema.

El gusano puede ser borrado, matando con el comando "kill" de Unix, el proceso ".bugtraq".

Además, los siguientes archivos deben ser eliminados:

/tmp/.uubugtraq
/tmp/.bugtraq.c
/tmp/.bugtraq

No se han detectado instrucciones que permitan al gusano reiniciarse por si solo.

Se sugiere aislar el sistema infectado de cualquier conexión a redes e Internet hasta completar el procedimiento de eliminación del gusano.

Luego, siga las instrucciones del siguiente artículo para solucionar la vulnerabilidad en OpenSSL que permite la ejecución del gusano:

OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow
http://online.securityfocus.com/bid/5363/solution


Más información:

CERT® Advisory CA-2002-23 Multiple Vulnerabilities In OpenSSL
http://www.cert.org/advisories/CA-2002-23.html

The OpenSSL security advisory 
http://www.openssl.org/news/secadv_20020730.txt

Debian security advisory
http://www.debian.org/security/2002/dsa-136

Mandrake security advisory
http://www.mandrakelinux.com/en/security/2002/MDKSA-2002-046.php

RedHat security advisory
http://rhn.redhat.com/errata/RHSA-2002-155.html

SuSE security advisory
http://www.suse.com/de/security/2002_027_openssl.htm


VARIANTE: Slapper.B
ALIAS: Unlock


Es una variante levemente modificada de Slapper.A.

Crea una copia uuencodeada de si mismo en /tmp/.unlock.uu, y se descodifica en el archivo /tmp/.unlock.c

Luego, utiliza el compilador "gcc" para crear una copia ejecutable de si mismo en /tmp/.unlock

Crea un archivo para recopilar información del sistema infectado (/tmp/.unlock.go). El script también copia el archivo compilado (.unlock) en cada directorio habilitado con los privilegios de acceso con escritura.

Esta variante utiliza el puerto 4156 en lugar del 2002 para recibir sus ordenes.


Reparación manual

El gusano puede ser borrado, matando con el comando "kill" de Unix, el proceso ".unlock".

Además, los siguientes archivos deben ser eliminados:

/tmp/.unlock.uu
/tmp/.unlock.c
/tmp/.unlock
/tmp/.unlock.go

Siga el resto de las instrucciones dadas para la versión A


VARIANTE: Slapper.C
ALIAS: Cinik


Es una variante levemente modificada de Slapper.A.

Crea su copia uuencodeada en /tmp/.cinik.uu, y se descodifica en /tmp/.cinik.c

También utiliza el compilador "gcc" para crear una copia ejecutable de si mismo en /tmp/.cinik.

Esta variante también crea un archivo para recopilar información del sistema infectado (/tmp/.cinik.go). El script copia además el archivo compilado (.cinik) en cada directorio habilitado con los privilegios de acceso con escritura.

Slatter.C utiliza el puerto 1978 para recibir sus ordenes.

Si los archivos del gusano son borrados del servidor, intentará descargar una nueva copia desde un sitio Web en Rumania, si el sistema infectado posee la utilidad "wget" instalada.


Reparación manual

El gusano puede ser borrado, matando con el comando "kill" de Unix, el proceso ".cinik".

Además, los siguientes archivos deben ser eliminados:

/tmp/.cinik.uu
/tmp/.cinik.c
/tmp/.cinik
/tmp/.cinik.go

Una medida de protección sería limitar el acceso a "gcc" y "wget" en el sistema.

Siga el resto de las instrucciones dadas para la versión A


Más información:

Nuevas versiones del gusano Slapper
http://www.vsantivirus.com/23-09-02.htm


Actualizaciones:
23/set/02 - Variantes B y C



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS