И снова о «Cheese»: благими намерениями…

Интернет-червь «Cheese» заражает компьютеры которые были взломаны другим Linux червем «Ramen». Он действует как «заплатка дыр», которая удаляет открытые для внешнего доступа компьютеры, которые были взломаны, но для которых не была устранена брешь в системе безопасности. Таким образом компьютеры все еще остаются уязвимыми для внешних атак. Червь содержит строки текста:

> # removes rootshells running from /etc/inetd.conf
> # after a l10n infection… (to stop pesky haqz0rs
> # messing up your box even worse than it is already)
> # This code was not written with malicious intent.
> # Infact, it was written to try and do some good.

Неважно, какие хорошие намерения были у его авторов, но червь «Cheese» способен размножаться как вредная программа, которая «съедает» системные ресурсы.

Технические детали

Червь состоит из трех файлов: «cheese», «go» и «psm». Файл «go» является стартером для червя и запускает основную часть, которая хранится в файле «cheese».

Файл «cheese» представляет из себя скрипт-программу на языке Perl размером 2 килобайта. Это основное тело червя, которое отвечает за его размножение. После запуска он сканирует файл настроек «/etc/inetd.conf» на
наличие сервисов, которые запускают «/bin/sh» (обычно используется программами «бэкдор») и удаляет эту строку из него.

Более подробное описание червя «Cheese» см. в Вирусной Энциклопедии Касперского.