06.04.2001 17:38:04

Adore - еще один вирус для Linux

"Лаборатория Касперского" сообщила о появлении нового интернет-червя, получившего навзание Adore (aka "Red worm"). Это уже третий червь, появившийся за последние менее, чем три месяца, атакующий Linux-системы. Также как и предыдущие черви Ramen и Lion, новый вирус использует все те же известные уязвимости в защите Linux, для которых уже существуют соответствующие "заплатки".

По данным "Лаборатории Касперского" для незаметного проникновения на компьютеры с операционной системой Linux Red Hat вирус Adore использует "бреши" в BIND, wu-ftpd, rpc.statd и lpd сервисах. Червь сканирует ресурсы Сети, действуя аналогично утилитам типа "сниффер" для поиска уязвимых систем. Если жертва найдена, червь предпринимает попытки загрузить на этот компьютер свою главную компоненту с сервера, расположенного в Китае.

После проникновения на компьютер червь сохраняет свою копию в каталоге "/usr/local/bin/lib/" и запускает свою основную компоненту - файл "start.sh". Вначале червь заменяет на инфицированной машине приложение "/bin/ps" (используется для просмотра текущих процессов в системе) своей программой, содержащей трояна. После этого в списке активных задач будут видны все, кроме червя. Эту же программу червь копирует в "/usr/bin/anacron". Помимо этого червь заменяет на зараженном компьютере "/sbin/klogd" своей версией, содержащей backdoor.

Червь также собирает ключевую системную информацию, включая содержимое файла "/etc/shadow", и отправляет ее по электронной почте на четыре email-адреса, два из которых в Китае, два в США.