BitDefender lance une alerte contre le virus Linux.Worm.Slapper.A
Le laboratoire de recherche antivirus de Softwin, éditeur de Bitdefender, lance une alerte suite à la propagation du virus Linux.Worm.Slapper.A
Nom: Linux.Worm.Slapper.A
Type: Network worm
Taille: 65-70 K0 (C source)
Découvert le : 16 Septembre 2002
Détecté le: 16 Septembre 2002, 15:00 (GMT+2)
Propagation : Moyenne
Dommages causés: Moyen
ITW: Oui
Brève description:
Linux.Worm.Slapper.A est un ver se propageant sur les réseaux sous Linux qui exploitent une faille du protocole SSH afin de lancer une attaque DoS (Denial of Service). Fonctionnant sur les distributions Linux les plus connues, le ver pourrait rapidement interrompre les performances réseaux.
L’équipe de BitDefender a instantanément mis à jour les définitions de virus utilisées par les produits BitDefender. Les ordinateurs utilisant les solutions BitDefender sont donc protégés contre cette menace.
Symptômes:
– Fichiers “/tmp/.bugtraq” et “/tmp/.bugtraq.c” contenant l’exécutable du ver et le code source
– un process “.bugtraq” fonctionne (le ver exécutable);
Description technique:
Linux.Worm.Slapper.A est un ver qui exploite les failles dans l’implémentation OpenSSL du protocole Secure Sockets Layer – envoyant une clé client malformée dans une requête SSL qui permet notamment de et lancer un code au choix de l’attaquant sur le serveur; plus de détails concernant cette faille (découverte en juillet) est disponible dans le document http://www.openssl.org/news/secadv_20020730.txt. Le ver cible plusieurs distributions Linux fonctionnant sur le célèbre serveur web Apache.
Le ver recherche les ordinateurs vulnérables sur le réseau qui ont une IP de forme a.b.c.d, où ‘a’ et ‘b’ sont choisis au hasard (‘a’ est limité de 1 à 162 valeurs possibles dans la gamme 3 à 239) et ‘c’ et ‘d’ sont générés selon toutes les valeurs possibles. Pour toutes les IPs scannées, le ver essaie d’établir une connexion HTTP de façon à interroger le système d’exploitation et voir si il utilise une version vulnérable du serveur Apache (les systèmes d’exploitation Gentoo, Debian, Red-Hat, SuSE, Mandrake et Slackware, et plusieurs versions de Apache 1.3.xx sont couramment « supportées » par le ver; une configuration par défaut de Linux Red-Hat utilisant Apache 1.3.23 est utilisée si aucun de ceux pré-définis n’est détecté).
Le ver essaiera (au maximum 20 fois, avec 0.1 secondes entre chaque essai) de se connecter à tous les port SSL (443) des ordinateurs vulnérables et lui enverra a chaîne malformé qui causera un « buffer overrun » et exécutera le code inclut; cette séquence de code permet d’accéder aux service du Kernel Linux afin d’exécuter les actions suivantes :
– enregistre une copie encryptée (uu-encodé) du code source C du ver dans “/tmp/.uubugtraq”;
– le décrypte vers “/tmp/.bugtraq.c”;
– compile la source vers “/tmp/.bugtraq”;
– lance l’exécutable généré avec l’IP de la machine de l’expéditeur comme une ligne de commande.
(La séquence inclut le code sélectionné pour la configuration Linux/Apache déterminée.)
Ce mécanisme d’envoi du code source (Programme C) et de compilation sur une machine ciblée assure le fait que le ver puisse être porté sur de nombreuses distributions Linux.
En plus de se répliquer sur d’autres ordinateurs du réseau comme décrit, le ver surveille le port UDP 2002, fournissant les fonctions suivantes :
– communication directe avec les autres machines infectées ;
– diffuse un packet de données à toutes les machines infectées;
– lançant une commande sur la machine;
– exécute une attaque DoS sur une machine (en utilisant les connections UDP / TCP / IPv6 TCP, ou les requêtes DNS pour les noms de serveur du domaine).
Ce comportement ressemblant à un backdoor compromet la sécurité et la fonctionnalité des machines locales et en réseau.
Suppression manuelle:
Arrêter le process “.bugtraq” sur la machine infecté.
Eteindre les ordinateurs Linux sur le réseau et les redémarrer, comme le ver ne s’est pas installé lui-même (n’est pas lancé au démarrage).
Il est important que vous ayez une version mise à jour du serveur Apache qui élimine la faille.
Suppression automatique:
Laissez BitDefender effacer les fichiers infectés.
Analysé par:
Bogdan Dragu
BitDefender Virus Researcher
A propos de Softwin
Fondé en 1990, SOFTWIN une société informatique européenne. Elle intervient en Europe et aux Etats-Unis sur plus de 2500 projets informatiques.
La mission du département de sécurité des données de SOFTWIN est d’assurer la protection des systèmes contre les virus et de développer des nouvelles technologies antivirus avec son offre BitDefender, de surveiller par tous les moyens possibles les nouveaux risques d’infection et enfin d’éduquer et d’informer le public IT sur les dangers des virus.
Les moteurs de détection antivirus utilisés dans la gamme BitDefender sont certifiés par le prestigieux organisme américain ICSA Labs (http://www.icsa.net/ )
La société emploie actuellement plus de 400 personnes.
Informations entreprise
