Cheese Worm: un ver pour la bonne cause

Les vers destinés au serveurs sont en train d'acquérir une technicité de plus en plus grande, mais pas toujours avec des intentions malicieuses. Dans une note d'information du 17 mai, le CERT rapporte ainsi l'existence d'un ver dénommé "Cheese Worm", qui se propage en ce moment parmi les serveurs internet compromis par le précédent ver 1i0n. Il utilise une backdoor créée par 1i0n pour s'introduire dans une machine, puis la met à jour de manière à ce que 1i0n soit éradiqué.

Un ver réparateur
Le ver s'éxécute tout d'abord en lançant un script shell unix intitulé /tmp/.cheese/go qui lance lui même un script perl dénommé cheese. Puis, il déguise son nom en httpd, modifie inetd.conf et redémarre inetd. L'intrus scanne ensuite un réseau de classe B choisi au hasard (masque de sous réseau 255.255.0.0) à la recherche d'hôtes écoutants sur le port 10008 à l'aide du programme psm. Cela correspond en fait à la porte dérobée introduite par le ver lion, qu'il utilise alors pour se propager vers d'autres hôtes. Sa particularité vient du fait qu'une fois introduit, il nettoie le serveur infecté des portes dérobées introduites par 1i0n, en supprimant toutes les lignes contenant /bin/sh dans inetd.conf.

La recrudescence des vers pour serveurs
Un fichier texte est ensuite laissé sur la machine indiquant que le ver à réduit les dégats causés par 1i0n. En revanche, le ver cheese est seulement efficace sur les systèmes pour lesquels il a été prévu. Cela démontre que les récents progrès technologiques réalisés au niveau des codes auto-propagés ne sont pas toujours exploités à mauvais escient. Depuis le début de l'année, quatre vers, exploitant souvent, au moins pour une partie, les mêmes technologies ont été remarqués (Ramen, 1i0n, Adore et Sadmind/IIS), dont un multi plate-forme (Sadmind/IIS).