rimeiramente, devemos saber que um worm é um programa
capaz de espalha-se por uma rede, pela internet, devido a uma falha nosistema
operacional utilizado ou em algum programa que está sendo rodado.
Falha no BIND
O worm conhecido como Lion explora a vulnerabilidade do
TSIG do BIND, versões 8.2, 8.2-p1, 8.2.1, 8.2.2-px.
A falha ocorre no controle dos pacotes de resolução de nomes,
enviados com a opção Transactional Signatures. Havendo um
desvio de fluxo de execução é possível ganhar
o acesso como usuário "root" remotamente
O Worm Lion
Depois de instalado, ele verifica se o sistema está
vulnerável; caso esteja, ele automaticamente instalará um
programa chamado "name" e "rootkitstorn", alterando
assim a maioria dos seus arquivos "binários", por outros
já "infectados". Um dos binários alterados é
o " ps", escondendo assim alguns processos do sistema. Outros
binários são modificados, como Is, login, find, netstat,
etc.
Em seguida, ele envia seus arquivos de senhas para
um servidor e apaga o arquivo "/etc/host.deny", deixando seus
sistema menos seguro.
O Worm Lion dá acesso como "root" nas portas 60008/tcp
e 33567/tcp; ainda instala o Trinoo Flood Network, permitindo assim ataques
de Distributed Denial of Service.
|