>> <corte>Name: Linux/Adore
>> Aliases: Linux/Red
>> Type: Linux worm
>> Date: 5 April 2001</corte>
>Gente sei que vcs não tem nada a ver com isso mas meu ingles e
pessimo
>(no flames (esse eu aprendi
>na lista:))), mas poderia (ehh sohh um pedido por favor acalmem-se)
por
>favor :| colocar essa
>informações valiosas em português
Aqui vai a minha tradução rápida sem revisão (mas é melhor que
nada).
-----------
Nome: Linux/Adore
Aliases: Linux/Red
Tipo: Linux worm
Data: 5 de Abril de 2001
Este vírus será detectado pelo Sophos Anti-Virus de Maio de 2001
(3.45) ou posterior.
Um arquivo de identidade viral (IDE) está disponível para as versões
anteriores.
Até o momento de escrever este artigo, nenhum relato de infecção por
esse vírus foi reportado, mas este alerta está sendo divulgado para o
interesse da mídia(?).
Descrição:
Linux/Adore é um worm para o sistema operacional Linux. O worm é bem
similar ao Linux/Ramen e Linux/Lion. Ele usa quatro vulnerabilidades
no wu-ftpd, bind, lpd e RPC.statd, os quais permitem ao atacante
ganhar o acesso root e executar programas "maliciosos".
Quando o worm é executado, ele tenta enviar informações confidenciais
como a configuração de IP e informações dos processos ativos
juntamente com os arquivos /etc/hosts e /etc/shadow para quatro
endereços de e-mail que parecem ser baseados na China.
O worm também copia um script "0anacron" para o diretório
/etc/cron.daily de forma que ele é executado quando as tarefas do
cron.daily são agendadas (por default às 4:02am). Este script remove o
worm do sistema infectado.
O worm se prolifera scanneando endereços IP aleatórios de redes classe
B e vasculhando por vulnerabilidades na máquina. Se uma
vulnerabilidade é encontrada, o worm a explora de forma que a máquina
atacada executa um código (com privilégios de super-usuário) para
fazer o download do worm, descompactá-lo e instalá-lo no diretório
/usr/lib/lib e executá-lo.
O programa /bin/ps é substituído por uma versão trojan, que evita que
todos os processos do worm sejam visualizados na lista de processos
quando o comando 'ps' é executado.
O worm também executa um programa chamado icmp, que escuta e configura
o rootshell para aceitar conexões na porta 65535, atuando como um
backdoor, caso o tamanho do pacote recebido for igual ao especificado
no arquivo fonte.
A Sophos recomenda que usuários Linux apliquem patches de segurança em
seus sistemas para evitar este e outros worms de explorar
vulnerabilidades.
Faça Download do arquivo IDE a partir de
http://www.sophos.com/downloads/ide/adore.ide
Leia a análise em:
http://www.sophos.com/virusinfo/analyses/linuxadore.html
Faça download do arquivo ZIP contendo todas as IDE disponíveis para as
versões atuai do Sophos anti-virus
em:http://www.sophos.com/downloads/ide/ides.zip
Leia sobre como usar arquivos IDE em:
http://www.sophos.com/downloads/ide/using.html
-----------------------------
Saudações,
Leaozim.
Assinantes em 10/04/2001: 2188
Mensagens recebidas desde 07/01/1999: 108581
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
