Подвижные вирусы: миф или реальность?

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-042-2

Через несколько недель появилась модификация CodeRed, написанная более грамотными людьми. Используя уникальный алгоритм поиска систем, червяк распространился на огромное количество компьютеров. Правда, DDoS в планы второй версии заразы не входил. На этот раз CodeRed поставлялся с бэкдором, что давало возможность удаленно управлять зараженной системой. Червь вписывался в реестр и активировался при каждом запуске компьютера.

Существовали и другие червяки, ориентированные на IIS-уязвимость. Известный IISWorm, например, проникая в систему, ищет адреса других серверов в... html-страницах веб-сервера. После проделанной работы вирус поражает программное обеспечение на машине. Имя файла-червя всегда постоянно - iisworm.exe.

Linux не исключение

Если ты думаешь, что червяки выпускаются только под винду - ты ошибаешься. Как я уже говорил, в Linux было обнаружено много уязвимостей в модулях Apache. Один из вирей, использовавший багу в mod_ssl получил название Mighty. Эта зараза при запуске соединялась с IRC-сервером и могла выполнять команды от хозяина. Помимо DDoS'а различными способами, червь успешно распространялся на другие linux-сервера и заразил в общей сложности 1600 машин по всему миру.

Чуть раньше Mighty, мир узнал о линуксовом червячке Slapper (кстати, часть его кода была позаимствована вышеописанным вирем). Я лично сталкивался с этим вирусом. Зараза проникает на машину в UUENCODE-виде, затем записывает себя в /tmp/.bugtraq.c. После компиляции и запуска червь сканит инет на предмет баги в OpenSSL (происходит перебор по всем таргетам Slapper'а), а также следит за приходящими датаграммами на 2002 UDP-порт. Через бэкдор можно выполнить огромное количество команд, как, например:

1. Запустить локальный файл.

2. Совершить DoS-атаку различными методами (TCP, UDP, DNS или RAW пакетами).

3. Отослать электронное письмо.

4. Загрузить бинарный файл по протоколу HTTP и выполнить его.

Кроме того, все команды, которые передаются через UDP, зашифрованы, что защищает от прослушивания пакетов.

Автор вируса преследовал цель создать полностью связную сеть для атак, так как зараза умела передавать команды и на другие зараженные им машины.

Другие уязвимости

Помимо Web, существуют другие уязвимости, которые используют многие вирусы. К примеру, линуксовый Adm юзает переполнение буфера в BIND, записывая себя на удаленную машину. При этом он передает лишь часть своего кода, который автоматически компилируется и докачивает остальные компоненты уже с зараженной машины.

Червяк состоит из восьми компонент, пять из которых являются shell-скриптами, а три - бинарными файлами. Поочередно запуская файлы, зараза инфицирует машины в Сети. После этого скачивает себя с FTP-сайта в виде архива, распаковывает его, и процесс продолжается по новой.