Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Mare.G. Se propaga por vulnerabilidades en Linux
 
VSantivirus No. 2059 Año 10, lunes 27 de febrero de 2006

Mare.G. Se propaga por vulnerabilidades en Linux
http://www.vsantivirus.com/mare-g.htm

Nombre: Mare.G
Nombre NOD32: Linux/Mare.G
Tipo: Gusano de Internet y caballo de Troya
Alias: Mare.G, ELF/Mare!Worm, ELF_LUPPER.F, Linux.Lupper.I, Linux.Plupii.C, Linux/Lupper.B!net, Linux/Lupper.J, Linux/Lupper.worm.b, Linux/Lupper-I, Linux/Mare.C, Linux/Mare.G, Net-Worm.Linux.Lupper.B, Net-Worm.Linux.Mare.e, Worm.Mare.e, Worm/Linux.Lupper.B
Fecha: 26/feb/06
Plataforma: Unix/Linux
Tamaño: 407,576 bytes

Gusano de redes que abre una puerta trasera de acceso remoto, en equipos ejecutándose bajo Unix/Linux.

Para propagarse, explota una vulnerabilidad en XML-RPC que permite inyectar código en páginas PHP, para lograr que una computadora remota descargue y ejecute al gusano.

El acceso creado, también permite a un usuario remoto controlar el equipo infectado a través de una consola de comandos (shell) vía IRC. Utiliza los puertos UDP 27015 y TCP 8080.

Cuando se ejecuta, el gusano genera direcciones IP que utiliza para crear URLs que incluyen las siguientes cadenas:

/cvs/
/articles/mambo/
/cvs/mambo/
/blog/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/drupal/xmlrpc.php
/phpgroupware/xmlrpc.php
/wordpress/xmlrpc.php
/xmlrpc/xmlrpc.php

Envía solicitudes HTTP a las URLs generadas, intentando explotar la vulnerabilidad mencionada.

Si lo logra, el equipo vulnerable descargará al gusano desde uno de las siguientes direcciones de Internet:

http: // 198 .170 .105 .69/
http: // 24 .224 .174 .18/
http: // 81 .223 .104 .152/

NOTA: Debido a que un sistema infectado será seriamente comprometido por las posibles acciones de un atacante remoto, en caso de infección, no es válida la simple eliminación del gusano propiamente dicho, sino que se deberá reinstalar totalmente el sistema operativo.






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS