Известная, как Adore,
программа разработана для открытия дырок в
системе безопасности Линукса и рассылки
собранной инфы на 4 разных мыла, хостящихся
в США и Китае. “Похоже, что это –
разновидность червя Ramen”, - говорит Дэвид
Дитрих, сисадмин и эксперт по безопасности
Университета Вашингтона. Червь Ramen появился
середине января и заразил неизвестное
число машин, на которых была Red Hat-версия
Линукса. Ramen нашел 3 дырки, которые идут в
комплекте с Линуксом и устанавливаются по
умолчанию. Другой червь – 1i0n, найденный
Институтом Администрирования и
Безопасности Сетей, использовал четвертую
дырку, чтобы распространяться между
серверами, у которых был доменный сервис
или был установлен софт DNS.
Червь Adore (так
же известный, как Red) использует все 4 дырки,
чтобы проникать в уязвимые системы. “Но, не
смотря на то, что патчи к этим дыркам
существуют уже больше месяца, не все
сисадмины закрыли эти дыры”, - говорит Мэтт
Фирнау, аналитик Института
Администрирования и Безопасности Сетей.
Оказавшись в системе, Adore заменяет
приложение PS (которое используют
сисадмины для просмотра запущенных
программ) на свое собственное, в котором
будут прописаны все программы кроме червя.
Потом червь скопирует некоторые системные
пароли и отправит их на 4 мыла: 2 в США и в
Китае. У каждого мыла логин adore9000 и adore9001
соответственно.
Институт
Администрирования и Безопасности Сетей
выпустил программу Adorefind, которая
определяет наличие червя в системе (Брать
её тут - http://www.sans.org/y2k/adore.htm).
Похоже, что создатели червя рассчитывают
заразить очень большое число машин. Видимо
поэтому червь заменяет ICMP – сервис почти
таким же, после чего червь открывает дырку,
получив команды из Интернета, обходя
систему безопасности. ICMP чаще используется
для пересылки сообщений об ошибках между
машинами. После успешной отправки писем с
паролями, червь висит в системе до 4:02 pm, а
потом удаляется, оставляя после себя только
дырку.