Net-Worm.Linux. Lupper.a

Даная вредоносная программа распространяется в ELF-формате и представляет собой угрозу для Linux Web-серверов.

Даная вредоносная программа распространяется в ELF-формате и представляет собой угрозу для Linux Web-серверов.

Червь распространяется через следующие уязвимости:

* AWStats Rawlog Plugin Logfile Parameter Input Validation Vulnerability (Bugtraq 10950);

* XML-RPC for PHP Remote Code Injection Vulnerability (Bugtraq ID 14088);

* Darryl Burgdorf Webhints Remote Command Execution Vulnerability (Bugtraq ID 13930).

Этим уязвимостям подвержены программы:

b2evolution
Drupal
PHPGroupWare
PostNuke
TikiWiki
WordPress
Xoops

В обновленных версиях этих программ уязвимости были закрыты.

Через указанные уязвимости на сервере выполняются несколько команд: сначала с фиксированного адреса с помощью программы wget скачивается копия червя, которая сохраняется в каталоге /tmp под именем lupii. Затем с помощью команды chmod устанавливается бит выполнения и запускается сам исполняемый файл.

Кроме того на скомпроментированном сервере устанавливается backdoor на 7222 UDP порту для приема команд.

Червь генерирует список URL который содержит следующие строки:

/awstats/
/b2/xmlsrv/xmlrpc.php
/b2evo/xmlsrv/xmlrpc.php
/blog/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogs/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/blogtest/xmlsrv/xmlrpc.php
/cgi/awstats/
/cgi/hints.cgi
/cgi/hints.pl
/cgi/includer.cgi
/cgi-bin/
/cgi-bin/awstats/
/cgi-bin/hints.cgi
/cgi-bin/hints.pl
/cgi-bin/hints/hints.cgi
/cgi-bin/hints/hints.pl
/cgi-bin/inc/includer.cgi
/cgi-bin/include/includer.cgi
/cgi-bin/includer.cgi
/cgi-bin/stats/
/cgi-bin/webhints/hints.cgi
/cgi-bin/webhints/hints.pl
/cgi-local/includer.cgi
/community/xmlrpc.php
/drupal/xmlrpc.php
/hints.cgi
/hints.pl
/hints/hints.cgi
/hints/hints.pl
/includer.cgi
/phpgroupware/xmlrpc.php
/scgi/awstats/
/scgi/hints.cgi
/scgi/hints.pl
/scgi/includer.cgi
/scgi-bin/
/scgi-bin/awstats/
/scgi-bin/hints.cgi
/scgi-bin/hints.pl
/scgi-bin/hints/hints.cgi
/scgi-bin/hints/hints.pl
/scgi-bin/inc/includer.cgi
/scgi-bin/include/includer.cgi
/scgi-bin/includer.cgi
/scgi-bin/stats/
/scgi-bin/webhints/hints.cgi
/scgi-bin/webhints/hints.pl
/scgi-local/includer.cgi
/scripts/
/stats/
/webhints/hints.cgi
/webhints/hints.pl
/wordpress/xmlrpc.php
/xmlrpc.php
/xmlrpc/xmlrpc.php
/xmlsrv/xmlrpc.php

Этот список используется для заражения других хостов.