Content-Type: message/rfc822; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

Date: Wed, 28 Mar 2001 01:29:11 +0400
From: Vsevolod_Lutovinov@p20.f69.n5020.z2.fidonet.org (Vsevolod Lutovinov)
Subject: Hовости drweb.ru
Newsgroups: ru.unix
X-Comment-To: (All)
Organization: [ http://www.drweb.ru/linux-bsd/ ]

Linux.Lion

    Очень  опасный  интернет-червь.  Подобно  вирусу Linux.Ramen атакует
серверы  с  установленной операционной системной Linux, хотя применяемые
вирусом  алгоритмы при минимальной модификации работоспособны также и на
многих  вариантах  Unix.  Вирус представляет собой набор скриптов (shell
scripts),  модулей  на  языке  Perl  и  исполняемых  файлов  Linux.  Для
проникновения  на удаленную систему червь использует переполнение буфера
в  сигнатуре  транзакции  (TSIG)  сервера  доменных  имен BIND (BIND DNS
Server)   версий   8.2,   8.2-Px,  8.2.3-beta.  Данная  уязвимость  была
обнаружена  только  в  конце  января  2001  года,  что делает этот вирус
особенно   опасным,   так  как  существует  вероятность,  что  системные
администраторы  еще  не  успели  установить  соответствующие  "заплатки"
(patches)  для  устранения этой уязвимости (подробнее об этой уязвимости
можно узнать на http://www.kb.cert.org/vuls/id/196945).

    Так   как   приложение   BIND   обычно  выполняется  с  привелегиями
суперпользователя   (root),  то  после  проникновения  в  систему  вирус
запускается  с соответствующими правами и получает неограниченный доступ
к ее ресурсам.

    Вирус состоит из двух частей:

    1.  Hепосредственно  вирусная  часть, занимающаяся проникновением на
удаленные системы и размножением.

    2.  Hабор  утилит,  используемый  для  внедрения  в  систему  для ее
последующего   несанкционированного   использования   автором  вируса, а
также  сокрытия  следов  взлома  и  присутствия  вируса  в  системе, так
называемый T0rn Rootkit.


    Первая  часть  находится  в  каталоге  /scan  и состоит из следующих
файлов: bind, pscan, randb, 1i0n.sh, bindx.sh, hack.sh, scan.sh, star.sh

    Вторая часть - в каталоге /lib и, соответственно: 1i0n.sh, du, find,
getip.sh,  ifconfig,  in.fingerd,  in.telnetd,  login,  ls,  mjy,  name,
netstat,  pg,  ps,  pstree, ssh.tgz, sush, sz, t0rnp, t0rns t0rnsb, tfn,
top

    При  запуске  в  системе  вирус  последовательно запускает в фоновом
режиме первую и вторую часть.

    Первая  часть  прописывает  вызов  своего  стартового скрипта в файл
/etc/rc.d/rc.sysinit,   чтобы  инициализироваться  при
каждой  перезагрузке  системы.  Затем,  используя модуль randb, получает
случайный  адрес подсети класса "B" и, используя модуль pscan, сканирует
хосты  в  указанной  подсети  с открытым портом 53 (DNS service). Список
найденных  хостов  записывается  в  файл bindname.log. Далее для каждого
хоста  из этого списка вызывается вирусный модуль bind, который пытается
осуществить  атаку  на  данный хост, используя вышеописанную уязвимость,
инициализировать  на удаленной системе сессию shell и запустить вирусный
скрипт, который:

-   устанавливает   через   регистрацию   в  конфигурационном  файле
/etc/inetd.conf    возможность    беспарольного   удаленного   доступа к
командному интерпретатору (shell) взломанной системы через tcp-порт 1008

-  высылает  на адрес 1i0nip@china.com информацию о системе, а также
информацию о пользователях, зарегистрированных в системе и их паролях из
файлов /etc/passwd, /etc/shadow

-   удаляет  файл  истории  команд  командного  интерпретатора  bash
/.bash_history

-   посредством   текстового   браузера   lynx   скачать   с   сайта
http://coollion.51.net файл crew.tgz, содержащий упакованный код вируса,
распаковать  его содержимое в каталог /dev/.lib и запустить копию вируса
на выполнение.


    Вторая часть, будучи инициализированной одновременно с первой:

-  завершает  системный  процесс  syslogd. Таким образом, записи обо
всех последующие действия вируса не попадут в системный журнал

-   устанавливает   через   регистрацию   в  конфигурационном  файле
/etc/inetd.conf    возможность    беспарольного   удаленного   доступа к
командному  интерпретатору  (shell)  взломанной  системы через tcp-порты
60008 и 33567

- создает каталоги:
/usr/man/man1/man1/
/usr/man/man1/man1/lib/
/usr/man/man1/man1/lib/.lib/
/usr/man/man1/man1/lib/.lib/.backup/
/usr/src/.puta/
/usr/info/.t0rn/

-  копирует  командный  интерпретатор  sh в
/usr/man/man1/man1/lib/.lib/.x, устанавливает ему права владельца root и
бит  suid,  таким  обазом,  данная  копия командного интепретатора будет
всегда запускаться с привилегиями администратора

-  копирует файлы  in.telnetd  и mji в  /bin и
/usr/man/man1/man1/lib/.lib  модуль  mji  используется  для  последующей
очистки  файла  системного  журнала  файл  in.telnetd является троянской
версией telnet сервера

-  переносит  модуль  /usr/sbin/nscd (Name Caching Service daemon) в
/usr/info/.t0rn/sharsed, замещает его на собственный клиент Secure Shell
(ssh)   устанавливает  возможность  удаленного  доступа  к  собственному
ssh-клиенту через tcp-порт 33568

- прописывает вызов своих модулей
/usr/sbin/nscd -q
/bin/in.telnetd
в  файл  /etc/rc.d/rc.sysinit  -  таким  образом данные вирусные
компоненты будут запущены и после перезагрузки системы

- замещает системные модули
/usr/sbin/in.fingerd
/bin/ps
/sbin/ifconfig
/usr/bin/du
/bin/netstat
/usr/bin/top
/bin/ls
/usr/bin/find
на вирусные аналоги, скрывающие работу вируса в системе

-  разрешает  путем  модификации  файла /etc/inetd.conf выполнение
серверов finger и telnet

-   удаляет   файлы   истории   команд   командного   интерпретатора
/.bash_history    и   /root/.bash_history,   обнуляет   файлы   журналов
/var/log/messages, /var/log/maillog

    Таким    образом,   система   становится   полностью   открыта   для
несанкционированного доступа.
- ---------------

-- 
Bye.Olli.       mailto(remove "NOSPAM"): olli@digger.NOSPAMorg.ru
*: ".. От большого ума - лишь сума, да тюрьма.."  Янка Дягилева