● 新Linux蠕虫Adore问世 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: Mic (霸王丸), 信区: Virus
标  题: 新Linux蠕虫Adore问世
发信站: 荔园晨风BBS站 (Sun Apr  8 21:15:32 2001), 转信

本周,世界上第三个Linux病毒袭击了互联网。

这个Adore蠕虫制造Linux系统“后门”，然后向4个不同的邮件地址发送识别受害
机器的信息，这4个邮件宿主在中国和美国的服务器上。

华盛顿大学安全管理专家David Dittrich说：“看起来它是Ramen蠕虫的变种。”

Ramen蠕虫利用三个已知的安全漏洞感染Red Hat Linux系统，它在一月中旬爆发，
被感染的电脑数量还不得而知。

上月SANS（Systems Administration Networking and Security Institute）发现
了狮子蠕虫，它利用第四个漏洞在提供域名服务、DNS的服务器中传播。

SANS全球事故分析中心处理专家Matt Fearnow说，这个Adore蠕虫也叫Red蠕虫，它
利用所有的四个漏洞入侵Linux系统。虽然这几个漏洞的补丁已经发布好几个月，
但是大部分系统管理者并没有安装补丁程序。

Adore蠕虫一旦驻留在系统中，它替换一个“PS”文件。管理员利用这个文件列出
系统当前运行程序的清单，而替换后的文件只列出这个蠕虫以外的所有程序。

于是，这个蠕虫向4个邮箱发送几个重要的系统文件：2个邮箱在美国，2个在中国
。每封邮件使用adore9000或adore9001为用户名，也就是蠕虫的名字。

SANS发布了一个adorefind的程序，用于检测一个系统是否遭到了这个蠕虫的侵害
。

这个蠕虫可以快速传播，并且扫描各种服务器，试图探测受攻击系统的漏洞信息。

SecurityFocus.com几位管理者对于这种挑衅的扫描行为表示了进一步关注

一位管理者说：“大量人们报导他们的系统遭到了来自许多不同宿主的扫描检测。
”

另一位管理员说：“其中一次扫描成功地侵入了未打补丁的Red Hat 6.2系统。”

在线破坏者试图用“隐藏后门”的方式来危害大量的系统。

除了这些活动以外，这个蠕虫用几乎相同的版本替换一项基本的互联网服务程序
ICMP(Internet Control Message Protocol)。一旦新版本程序收到系列指令，它
就开启后门漏洞。ICMP典型地用来在机器之间发送错误信息。

当感染一台机器并通过邮件发送机器信息以后，等到清晨4：02分后，这个蠕虫删
除这台机器除后门以外的所有文件。

--
凉风有信，秋月无边。
     亏我思娇O既情绪好比度日如年，
           虽则我5系玉树临风,潇洒倜傥。
                但系我有广阔的胸襟加强壮O既臂弯。:P

※ 来源:．荔园晨风BBS站 bbs.szu.edu.cn．[FROM: 192.168.28.108]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店