| |
VSantivirus No. 2065 Año 10, domingo 5 de marzo de 2006
Mare.H. Se propaga por vulnerabilidades en Linux
http://www.vsantivirus.com/mare-h.htm
Nombre: Mare.H
Nombre NOD32: Linux/Mare.H
Tipo: Gusano de Internet y caballo de Troya
Alias: Mare.H, Linux/Mare.H, Net-Worm.Linux.Lupper
Fecha: 4/mar/06
Plataforma: Unix/Linux
Tamaño: 407,576 bytes
Gusano de redes que abre una puerta trasera de acceso remoto, en equipos ejecutándose bajo Unix/Linux.
Para propagarse, explota una vulnerabilidad en XML-RPC que permite inyectar código en páginas PHP, para lograr que una computadora remota descargue y ejecute al gusano.
El acceso creado, también permite a un usuario remoto controlar el equipo infectado a través de una consola de comandos (shell) vía IRC.
Cuando se ejecuta, el gusano genera direcciones IP que utiliza para crear URLs que incluyen las siguientes cadenas:
/cvs/
/articles/mambo/
/cvs/mambo/
/blog/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/drupal/xmlrpc.php
/phpgroupware/xmlrpc.php
/wordpress/xmlrpc.php
/xmlrpc/xmlrpc.php
Envía solicitudes HTTP a las URLs generadas, intentando explotar la vulnerabilidad mencionada.
Si lo logra, el equipo vulnerable descargará al gusano desde determinadas direcciones de Internet.
El gusano también borra todas los archivos de la carpeta /temp, y crea una subcarpeta oculta con el siguiente nombre:
.sess_a4c1cb9ea15105441fb0366b06479082
NOTA: Debido a que un sistema infectado será seriamente comprometido por las posibles acciones de un
atacante remoto, en caso de infección, no es válida la simple eliminación del gusano propiamente dicho, sino que se deberá reinstalar totalmente el sistema operativo.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
