Net-Worm.Linux.Millen

Материал из Total Malware Info

Перейти к: навигация, поиск

Net-Worm.Linux.Millen Интернет-червь, заражающий Linux системы. Распространяет свои копии (заражает удаленные Linux-системы) при помощи "дыры" в сервисе rpc.mountd (так называемая дыра "переполнение буфера"). Эта дыра позволяет засылать исполняемый код на удаленный компьютер и выполнять его там без ведома администратора (пользователя). Является приложением Linux (ELF-файл). Имеет размер 13 048 байт.

Распространение

Червь сканирует ресурсы локальной сети что бы получить адреса других машин, которые затем атакует посредством атаки "переполнение буфера" посылая туда shellcode, который разрешает удаленный доступ к командному интерпретатору, с помощью которого основные компоненты червя удаленно закачиваются на машину жертвы и запускаются.

Деструктивная активность

Создает нового пользователя “mw” в группе “millennium worm”. Копирует файл /bin/sh в скрытый файл /bin/.mwsh и устанавливает его интерпретатором по умолчанию для пользователя “wm”. Очищает содержимое файлов: 

/etc/hosts.deny
/etc/hosts.allow

В которых хранятся политики запрета сетевого доступа. Таким образом появляется позможность подключиться к компьютеру используя логин wm и заранее известный пароль и выполнять любые команды в системе пользователя.

Источник — «http://www.totalmalwareinfo.com/rus/Net-Worm.Linux.Millen»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.