Adore: появился еще один червь для Linux

Adore (aka «Red worm») — уже третий червь, появившийся за последние менее, чем три месяца, атакующий Linux-системы. Также как и предыдущие черви «Ramen» и «Lion», новый вирус использует все те же известные уязвимости в защите Linux, для которых уже существуют соответствующие «заплатки».

Для незаметного проникновения на компьютеры с операционной системой Linux Red Hat вирус «Adore» использует бреши в BIND, wu-ftpd, rpc.statd и lpd сервисах.
Червь сканирует ресурсы глобальной сети, действуя аналогично утилитам типа «сниффер» для поиска уязвимых систем. Если жертва найдена, червь предпринимает попытки загрузить на этот компьютер свою главную компоненту с сервера, расположенного в Китае.

После проникновения на компьютер червь сохраняет свою копию в каталоге «/usr/local/bin/lib/» и запускает свою основную компоненту — файл «start.sh». Вначале червь заменяет на инфицированной машине приложение «/bin/ps» (используется для просмотра текущих процессов в системе) своей программой, содержащей трояна. После этого в списке активных задач будут видны все, кроме червя.
Эту же программу червь копирует в «/usr/bin/anacron». Помимо этого червь заменяет на зараженном компьютере «/sbin/klogd» своей версией, содержащей бэкдор.

Червь также собирает ключевую системную информацию, включая содержимое файла «/etc/shadow», и отправляет ее по электронной почте на четыре email-адреса, два из которых в Китае, два в США.

Дополнительная информация по безопасности и «заплатки», устраняющие «дыры» в защите Linux RedHat доступна по следующим адресам: