|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| Virus: Linux/Lion.worm. Peligrosa amenaza para servidores Linux | ||
|---|---|---|
VSantivirus No. 259 - Año 5 - Sábado 24 de marzo de 2001 Nombre: Linux/Lion.worm Tipo: Gusano de Internet de Acceso Remoto Origen: China Fecha: 23/mar/01 Alias: Lion, Linux.Lion.Worm, Lion worm Se trata de un gusano de Internet, que afecta servidores bajo el sistema operativo Linux. No son afectadas computadoras bajo ninguna versión de Windows. Para muchos expertos, se trata de un virus mucho más peligroso que el Ramen (ver VSantivirus No. 195 - Año 5 - Viernes 19 de enero de 2001, "Linux.Ramen.Worm. Se propaga a gran velocidad en Linux" y VSantivirus No. 229 - Año 5 - Jueves 22 de febrero de 2001, "Nueva versión del virus Ramen para Linux descubierta"). Este gusano se aprovecha de una vulnerabilidad conocida desde hace un tiempo (TSIG vulnerability), y la única razón de los numerosos casos reportados en un plazo de pocas horas, es porque son muchos los administradores que no han puesto al día sus sistemas. A diferencia del Ramen, que solo afecta máquinas bajo Linux Red Hat 6.2 o 7.0, Lion se aprovecha de una vulnerabilidad que afecta máquinas bajo Linux, que corran las versiones 8.2, 8.2-P1, 8.2.1, 8.2.2-Px, y todas las 8.2.3-betas de BIND (Berkeley Internet Name Domain), la aplicación más utilizada como software de los servidores de nombre en Internet (DNS) (ver VSantivirus No. 211 - Año 5 - Domingo 4 de febrero de 2001, "Sobre las vulnerabilidades BIND"). Esta vulnerabilidad, reportada en enero de 2001, permite la ejecución de órdenes arbitrarias en el servidor. Una solicitud correcta a un servidor DNS corriendo BIND, suele ser el nombre de un dominio. La respuesta sería la dirección IP válida para acceder a las máquinas de ese dominio. Sin embargo, esta vulnerabilidad permite el envío de determinada cadena de caracteres, y como resultado, se puede llegar a ejecutar comandos en forma arbitraria, ocasionando un desbordamiento de búfer y ejecutando código malicioso. Por otra parte, cada uno de estos sistemas atacados por el Lion, se convierte a su vez en atacante, lo que en pocos minutos puede ocasionar la caída de muchos sistemas, causando un grave perjuicio a la navegación por Internet. Este gusano descarga sus archivos desde el dominio 51.net, el cuál está registrado en China. Bloquea además el IP 211.100.18.56 para prevenir cualquier intento de comunicarse con dicha dirección. Lion también puede robar contraseñas de los sistemas afectados, y además puede instalar y esconder varias herramientas usadas por hackers, y acceder a los sistemas afectados con privilegios tales, que le permitan atacar desde allí a otros sistemas vulnerables. El gusano utiliza una aplicación llamada RANDB para examinar al azar redes de clase B. Busca el puerto 53 de TCP, y se aprovecha de los sistemas Linux que no han actualizado sus sistemas con los parches para las vulnerabilidades BIND mencionadas. El gusano instala en el sistema atacado, una herramienta llamada "t0rn rootkit", y una vez que toma el control de un sistema vulnerable, envía las contraseñas y otro tipo de información a una dirección de e-mail con dominio china.com. También instala versiones "troyanizadas" de SSH y LOGIN. La herramienta "t0rn rootkit" reemplaza varios archivos binarios en el sistema atacado:
Aunque el gusano actualmente sólo afecta servidores basados en
Linux, es muy probable que se modifique para atacar servidores
Unix en general.
Los administradores deberán actualizar las versiones de este servicio, a los efectos de prevenir este tipo de ataque. |
||
