В сети появился интренет-червь Scalper (AKA «FreeBSD.Scalper.worm», «ELF/FreeApworm», «ELF_SCALPER.A»), который поражает серверы под управлением операционной системы FreeBSD. Scalper использует бреши в системе безопасности популярного web сервера «Apache». Червь также содержит backdoor компоненту, которая позволяет управлять зараженным сервером. Эта компонента принимает команды запуска
файлов на локальном компьютере, наводнение запросами некоторого IP адреса, посылка электронной почты и т.п.
Версия сервера «Apache» с брешью в защите находится в промежутке между 1.3.x — 1.3.24, все версии от 2.0.x до версии 2.0.36 и все версии старше 1.2.x. Для исправления этой бреши рекомендуем установить исправленные версии «1.3.26»/»2.0.39″ или более поздние.
На момент составления описания червь не был замечен в диком виде.
Ссылки по теме:
Apache Security Bulletin, June 20, 2002
Apache Web Server Chunk Handling Vulnerability
Особенности алгоритма червя
Червь атакует компьютеры по случайно-сгенерированному IP адресу. Формат IP адреса a.b.x.x, где «a» выбирается из массива со 162-мя значениями, «b» полностью случайное число в диапазоне от 0 до 255 и «x.x» выбираются последовательным перебором от «0.0» до «255.255». Для каждого сгенерированного IP адреса червь проверяет на совпадение его с адресом локального компьютера 127.x.x.x. Если совпадения не было, то червь пытается
соединиться по этому IP адресу через порт 80. Он посылает запрос со строкой «GET /». Если сервер отвечает на запрос строкой со словом «Apache», то червь пытается пробить его защиту. Для этого он посылает набор из двух блоков данных, которые взламывают защиту для Apache сервера версий 1.3.20 и 1.3.22-24. Если взлом удался, то червь пересылает себя в кодированном виде
UUENCODE в каталог «/tmp», распаковывает и запускает. После запуска червь продолжает цикл размножения, ищет другие жертвы и активирует backdoor компоненту для порта 2001 UDP. Backdoor компонента обрабатывает широких набор команд. Например:
- наводнение пакетами UDP, TCP, DNS и RAW заданного компьютера в сети
- запуск файлов на локальном компьютере
- загрузка бинарных файлов с другого компьютера по протоколу
HTTP и запуск их на локальном - рассылка почтовых сообщений
- отсылка информации о конфигурации локального компьютера
Все запросы для backdoor компоненты зашифрованы, но шифровка постоянна и скорее всего используется для защиты от анализаторов интернет трафика.
Червь Scalper использует бреши в популярном web сервере «Apache»