ELF_Adore: очередной опыт «приручения» Linux

ELF_Adore (aka Unix/Adore, ADORE.A, Red Worm, Linux/Adore) — интернет червь заражающий системы, работающие под управлением ОС Linux. Для проникновения на компьютер Adore использует четыре бреши в безопасности ОС Linux: BIND, wu-ftpd, rpc-statd, и lpd сервисе.

Все четыре эксплоита позволяют злоумышленнику получить доступ на атакуемый компьютер с правами ROOT. Удаленный пользователь может копировать, удалять и запускать на выполнение файлы.

Для заражения системы червь случайным образом выбирает из блока B IP-адрес и проверяет компьютер на наличие дыр в безопасности. Если подходящая для заражения система обнаружена, червь закачивает (с правами «super-user») на жертву архив со своим основным кодом, распаковывает его в директорию «/usr/local/bin/lib/». Затем Adore запускает скрипт «start.sh» который заменяет процесс «bin/ps» на Linux машине.
Оригинальный процесс записывается как «/usr/bin/adore».

После заражения компьютера червь пытается отослать на email-адреса:

adore9000@21cn.comsd
adore9000@sina.com
adore90001@21cn.com
adore9001@sina.com

информацию из:

/etc/ftpusers
ifconfig
/root/.bash_history
/etc/hosts
/etc/shadow

Червь также запускает backdoor-программу «ICMP», которая «слушает» порт 65535. Соединение с этой компонентой открывается, если послать на этот порт ping-пакет определенного размера.

Кроме этого, червь создает еще один скрипт «/etc/cron.daily/0anacron», который исполняется как «cron daemon» на следующий день после заражения. Этот скрипт «заметает следы»: удаляет код червя из системы, восстанавливает оригинальный «/bin/ps» и останавливает все процессы, запущенные червем кроме backdoor-компоненты «ICMP».