21/05/01
Cheese
Worm: un ver pour la bonne cause
Les vers destinés
au serveurs sont en train d'acquérir une technicité
de plus en plus grande, mais pas toujours avec des intentions
malicieuses. Dans une note d'information du 17 mai,
le CERT
rapporte ainsi l'existence d'un ver dénommé
"Cheese Worm", qui se propage en ce moment
parmi les serveurs internet compromis par le précédent
ver 1i0n. Il utilise une backdoor créée
par 1i0n pour s'introduire dans une machine, puis la
met à jour de manière à ce que
1i0n soit éradiqué.
Un ver réparateur
Le ver s'éxécute tout d'abord en lançant
un script shell unix intitulé /tmp/.cheese/go
qui lance lui même un script perl dénommé
cheese. Puis, il déguise son nom en httpd, modifie
inetd.conf et redémarre inetd. L'intrus scanne
ensuite un réseau de classe B choisi au hasard
(masque de sous réseau 255.255.0.0) à
la recherche d'hôtes écoutants sur le port
10008 à l'aide du programme psm. Cela correspond
en fait à la porte dérobée introduite
par le ver lion, qu'il utilise alors pour se propager
vers d'autres hôtes. Sa particularité vient
du fait qu'une fois introduit, il nettoie le serveur
infecté des portes dérobées introduites
par 1i0n, en supprimant toutes les lignes contenant
/bin/sh dans inetd.conf.
La recrudescence des vers pour
serveurs
Un fichier texte est ensuite laissé sur la machine
indiquant que le ver à réduit les dégats
causés par 1i0n. En revanche, le ver cheese est
seulement efficace sur les systèmes pour lesquels
il a été prévu. Cela démontre
que les récents progrès technologiques
réalisés au niveau des codes auto-propagés
ne sont pas toujours exploités à mauvais
escient. Depuis le début de l'année, quatre
vers, exploitant souvent, au moins pour une partie,
les mêmes technologies ont été remarqués
(Ramen, 1i0n, Adore et Sadmind/IIS), dont un multi plate-forme
(Sadmind/IIS).
|