Lupper.A

Lupper.A – червь, распространяющийся через Web сервера, эксплуатирующий уязвимости в Web приложениях.

Lupper.A – червь, распространяющийся через Web сервера, эксплуатирующий уязвимости в Web приложениях. Тело червя содержит 47,203 байтовую I386 ELF программу.

Lupper пытается выполнить набор из 4-х команд на удаленном сервере.

Изменяет папку к /tmp

Загружает копию червя с именем “lupii” с жестко прописанного IP адреса используя Wgt

Изменяет атрибуты исполнения

Выполняет загруженную копию червя

Червь экплуатирует следующие уязвимости:

AWStats Rawlog Plugin Input Vulnerability (Bugtraq 10950)

XML-RPC for PHP Remote Code Execution Exploit (CAN-205-1921)

Пытаясь эксплуатировать уязвимость в AWStat, червь ищет уязвимый сценарий в следующих местоположениях:


/cgi-bin/awstats.pl
/awstats/awstats.pl
/cgi-bin/awstats/awstats.pl
/cgi/awstats/awstats.pl
/scripts/awstats.pl
/cgi-bin/stats/awstats.pl
/stats/awstats.pl

Пытаясь эксплуатировать уязвимость в XML-RPC, червь ищет уязвимый сценарий в следующих местоположениях:


/xmlrpc.php
/xmlrpc/xmlrpc.php
/xmlsrv/xmlrpc.php
/blog/xmlrpc.php
/drupal/xmlrpc.php
/community/xmlrpc.php
/blogs/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogtest/xmlsrv/xmlrpc.php
/b2/xmlsrv/xmlrpc.php
/b2evo/xmlsrv/xmlrpc.php
/wordpress/xmlrpc.php
/phpgroupware/xmlrpc.php

Lupper.A открывает UDP бекдор на 7111 порту, позволяя удаленному пользователю получить неавторизованный доступ к уязвимой системе.