«Cheese»: интернет-червь занимается благотворительностью

По сообщению Координационного Центра CERT (Computer Emergency Response Team), созданного на базе Carnegie Mellon University в Питсбурге и специализирующегося на интернет-безопасности, и интернете появился этакий «дружелюбный» червь под названием «Cheese». Основное занятие этого доброжелателя — помогать нерадивым сисадминам, выискивая в интернете уязвимые Unix-ситемы и залатывая «дыры» в их безопасности.

«Cheese» проникает на машины тем же способом, что и другой червь, появившийся пару месяцев назад и известный под именем «Lion». Червь сканирует интернет, действуя аналогично утилитам типа «сниффер», в поиске машин с открытым 10008 TCP-портом (что позволяет хакерам при использовании набора определенных программ взламывать уязвимые системы). Проникнув на компьютер, червь инсталлирует свою копию в каталог ‘/tmp/.cheese’, распаковывая в нее файлы:

/tmp/.cheese/
/tmp/.cheese/ADL
/tmp/.cheese/go
/tmp/.cheese/cheese
/tmp/.cheese/psm
/tmp/.cheese/cheese.uue
/tmp/.cheese/cheese.tgz

Червь ищет и удаляет из системы все inetd-сервисы, обращающиеся к ‘/bin/sh’. Сделав «доброе дело», червь опять «собирается в дорогу» выполнять чужую работу. Для размножения ему совершенно не требуется вмешательство человека: червь копирует себя на компьютер-жертву и затем начинает новый цикл сканирования интернета, выискивая следующий объект для приложения своих усилий.

Червь содержит следующие комментарии:

# removes rootshells running from /etc/inetd.conf
# after a l10n infection… (to stop pesky haqz0rs
# messing up your box even worse than it is already)
# This code was not written with malicious intent.
# Infact, it was written to try and do some good.