Как сообщает онлайновый новостной ресурс ZDNet, новый и уже третий за последние несколько месяцев линуксовый червь поразил на этой неделе сразу несколько серверов.
По мнению одного из аналитиков, новый червь, названный Adore, является, по всей видимости, разновидностью известного червя , обнаруженного в диком виде в конце января этого года.
Тогда "дикий" Ramen, "Лаборатории Касперского", стал поворотным моментом в истории ОС Linux: ранее считавшаяся неприступной, теперь и эта операционная система пала жертвой компьютерных вирусов. За более чем 8 лет существования Linux было обнаружено около 50 вирусов, написанных для этой ОС, однако до появления Ramen ни один из них не вызвал реального заражения компьютеров.
Правда, Ramen являлся скорее "лечебной пиявкой", нежели действительно деструктивной программой: внедряясь в систему, червь вносил незначительные изменения, после чего закрывал "дыру", до которой не доходили руки у системных администраторов - несмотря на то, что соответствующие патчи были на сайте Red Hat еще в августе прошлого года.
Брешь, использовавшаяся вирусом Ramen, существует в трех программах, поставляемых с большинством дистрибутивов ОС Linux и устанавливаемых по умолчанию.
Вторым линуксовым червем, появившимся в прошлом месяце, стал так называемый "1i0n" (от "Lion" - "лев"). "Лев" использовал еще одну, четвертую брешь в линукс-системах. Он воровал пароли и настройки с пораженной машины и устанавливал на ней скрытые хакерские утилиты.
И вот теперь - третий линуксовый червь обнаруженный в диком виде, Adore, также известный под именем "Red worm" ("Красный червь"), который атакует все четыре названные "дыры".
После внедрения в систему программа создает так называемый "черный ход" (back door) на сервер. Затем червь заменяет приложение PS - используемое сисадминами для отслеживания текущих программ - на программу, отслеживающую действия всех программ, кроме самого червя.
После этого червь отсылает копии нескольких ключевых системных файлов на четыре адреса электронной почты, два из которых хостятся в США, а два в Китае. Каждое послание при этом в качестве имени пользователя он проставляет либо "adore9000", либо "adore9001", что и дало ему название.
Червь также заменяет ICMP (Internet Control Message Protocol), используемый для пересылки сообщений об ошибках от машины к машине, на практически идентичную версию программы, в случае получения через Интернет набора соответствующих команд открывающую "черный ход", позволяющий обойти системы безопасности.
После заражения машины и отсылки информации о системе вирус на время замирает и ждет до 4 часов 2 минут утра, после чего уничтожает все свои файлы, исключая установленную "заднюю дверь".
Представители заявляют, что ими разработана соответствующая программа - , позволяющая обнаружить как самого червя, так и последствия его существования в системе.
Подробный отчет о поведении червя и способах устранения последствий заражения можно прочесть SANS, международной образовательно-исследовательской общественной организации, которая поддерживает обмен опытом между почти сотней тысяч специалистов по безопасности, а также между системными и сетевыми администраторами.
Copyright © 2000-2002 Нетоскоп