Una Al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Adore Worm – La amenaza de los worms

Adore Worm – La amenaza de los worms

Por Deja un comentario

Un nuevo gusano, llamado Adore Worm, se ha detectado recientemente
aprovechándose de las vulnerabilidades de seguridad de los sistemas
operativos de software libre. Adore parece haber empezado a expandirse
por los sistemas el día 1 de Abril.

Este gusano, originalmente llamado Red Worm, es similar a los que
últimamente hemos conocido, como Ramen and Lion. Su funcionamiento es
bastante sencillo. Hace un escaneo sobre maquinas que ejecutan Linux en
Internet y trata de determinar si ofrecen algún servicio vulnerable para
aprovecharse como: LPRng (instalado por defecto en RedHat 7.0),
rpc-statd, wu-ftpd y BIND. Solo afecta a versiones de Linux que corren
bajo arquitectura x86.

Después de encontrar un sistema vulnerable y conseguir los privilegios
en la maquina, el gusano mueve el comando «ps» a /usr/bin/adore, y lo
suplanta con una versión con troyano (posiblemente sacada de un
rootkit). Entonces envía un mail a las direcciones de correo
adore9000@21cn.com, adore9000@sina.com, adore9001@21cn.com y
adore9001@sina.com con la siguiente informacion:
* /etc/ftpusers
* ifconfig
* ps -aux <- (mediante la versión original en /usr/bin/adore)
* /root/.bash_history <- (Ultimos comandos ejecutados por el admin)
* /etc/hosts
* /etc/shadow <- (Fichero de contraseñas del sistema)

Después de esto ejecuta un paquete llamado «icmp». Con las opciones por
defecto con las que se ejecuta, el programa se pondrá a la escucha en un
puerto determinado a la espera de un paquete TCP concreto. Si el paquete
que recibe es correcto, entonces brinda al atacante una shell con
privilegios de superusuario. Por ultimo, modifica la tabla del crontab
para que a las 04:02 am hora local se borren todos los posibles rastros
que el atacante haya dejado.

Una vez que la maquina ha sido comprometida mediante las acciones
explicadas el gusano tratará de expandirse a otras maquinas realizando
una propagación de forma exponencial.

Dartmouth ISTS ha desarrollado una utilidad llamada «adorefind» que
detectará ficheros de este gusano en el sistema. Snort también servirá
para detectar este tipo de problemas.

Como posible protección podría bloquearse el envío de mails a las
direcciones expuestas, aunque es recomendable tener el sistema
actualizado frente a posibles vulnerabilidades.

Jaime Sánchez Diego

Acerca de Hispasec

Hispasec Ha escrito 7093 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.