Lupper.A

Lupper.A – червь, распространяющийся через Web сервера, эксплуатирующий уязвимости в Web приложениях.

Lupper.A – червь, распространяющийся через Web сервера, эксплуатирующий уязвимости в Web приложениях. Тело червя содержит 47,203 байтовую I386 ELF программу.

Lupper пытается выполнить набор из 4-х команд на удаленном сервере.

Изменяет папку к /tmp

Загружает копию червя с именем “lupii” с жестко прописанного IP адреса используя Wgt

Изменяет атрибуты исполнения

Выполняет загруженную копию червя

Червь экплуатирует следующие уязвимости:

AWStats Rawlog Plugin Input Vulnerability (Bugtraq 10950)

XML-RPC for PHP Remote Code Execution Exploit (CAN-205-1921)

Пытаясь эксплуатировать уязвимость в AWStat, червь ищет уязвимый сценарий в следующих местоположениях:

 
 /cgi-bin/awstats.pl
 /awstats/awstats.pl
 /cgi-bin/awstats/awstats.pl
 /cgi/awstats/awstats.pl
 /scripts/awstats.pl
 /cgi-bin/stats/awstats.pl
 /stats/awstats.pl
 

Пытаясь эксплуатировать уязвимость в XML-RPC, червь ищет уязвимый сценарий в следующих местоположениях:

 
 /xmlrpc.php
 /xmlrpc/xmlrpc.php
 /xmlsrv/xmlrpc.php
 /blog/xmlrpc.php
 /drupal/xmlrpc.php
 /community/xmlrpc.php
 /blogs/xmlrpc.php
 /blogs/xmlsrv/xmlrpc.php
 /blog/xmlsrv/xmlrpc.php
 /blogtest/xmlsrv/xmlrpc.php
 /b2/xmlsrv/xmlrpc.php
 /b2evo/xmlsrv/xmlrpc.php
 /wordpress/xmlrpc.php
 /phpgroupware/xmlrpc.php

Lupper.A открывает UDP бекдор на 7111 порту, позволяя удаленному пользователю получить неавторизованный доступ к уязвимой системе.