Un nuevo gusano, llamado Adore Worm, se ha detectado recientemente
aprovechándose de las vulnerabilidades de seguridad de los sistemas
operativos de software libre. Adore parece haber empezado a expandirse
por los sistemas el día 1 de Abril.
Este gusano, originalmente llamado Red Worm, es similar a los que
últimamente hemos conocido, como Ramen and Lion. Su funcionamiento es
bastante sencillo. Hace un escaneo sobre maquinas que ejecutan Linux en
Internet y trata de determinar si ofrecen algún servicio vulnerable para
aprovecharse como: LPRng (instalado por defecto en RedHat 7.0),
rpc-statd, wu-ftpd y BIND. Solo afecta a versiones de Linux que corren
bajo arquitectura x86.
Después de encontrar un sistema vulnerable y conseguir los privilegios
en la maquina, el gusano mueve el comando «ps» a /usr/bin/adore, y lo
suplanta con una versión con troyano (posiblemente sacada de un
rootkit). Entonces envía un mail a las direcciones de correo
adore9000@21cn.com, adore9000@sina.com, adore9001@21cn.com y
adore9001@sina.com con la siguiente informacion:
* /etc/ftpusers
* ifconfig
* ps -aux <- (mediante la versión original en /usr/bin/adore)
* /root/.bash_history <- (Ultimos comandos ejecutados por el admin)
* /etc/hosts
* /etc/shadow <- (Fichero de contraseñas del sistema)
Después de esto ejecuta un paquete llamado «icmp». Con las opciones por
defecto con las que se ejecuta, el programa se pondrá a la escucha en un
puerto determinado a la espera de un paquete TCP concreto. Si el paquete
que recibe es correcto, entonces brinda al atacante una shell con
privilegios de superusuario. Por ultimo, modifica la tabla del crontab
para que a las 04:02 am hora local se borren todos los posibles rastros
que el atacante haya dejado.
Una vez que la maquina ha sido comprometida mediante las acciones
explicadas el gusano tratará de expandirse a otras maquinas realizando
una propagación de forma exponencial.
Dartmouth ISTS ha desarrollado una utilidad llamada «adorefind» que
detectará ficheros de este gusano en el sistema. Snort también servirá
para detectar este tipo de problemas.
Como posible protección podría bloquearse el envío de mails a las
direcciones expuestas, aunque es recomendable tener el sistema
actualizado frente a posibles vulnerabilidades.
