[FUGSPBR] Vírus Scalper ataca servidores Apache

Max ldd em starweb.com.br
Ter Jul 2 11:47:04 BRT 2002 

http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1025537768,61159,/

Vírus Scalper ataca servidores Apache
1/7/2002 - 12:36 Giordani Rodrigues

Foi criado o primeiro vírus capaz de infectar servidores Apache vulneráveis.
Batizado de FreeBSD.Scalper.Worm, Elf_Scalper.A, ou simplesmente Scalper,
além de outros nomes, o worm se aproveita do bug chamado "chunked encoding",
recentemente descoberto no Apache.

O bug atinge uma funcionalidade do servidor responsável pela codificação de
blocos de dados ("chunked encoding"), permitindo a execução de códigos
arbitrários ou ataques de negação de serviço na máquina afetada.

Aproveitando-se dessa brecha, o Scalper (que significa "aquele que executa
um escalpo", tortura que foi comum entre os índios Apache) é capaz de
instalar um arquivo que dá acesso não-autorizado ao servidor, enviar spam,
rastrear outras máquinas vulneráveis, sobrecarregar e degradar a performance
da máquina atingida.

O Scalper foi projetado para se disseminar em servidores Apache rodando em
sistema operacional FreeBSD, mas os especialistas avisam que o worm pode ser
adaptado para funcionar em outros sistemas. A Symantec, por exemplo, informa
que já identificou duas variantes do vírus. Após ganhar acesso ao servidor,
o Scalper cria o arquivo temporário "/tmp/.uua", que é o próprio vírus
codificado em UUEncode (formato universal para transferência de arquivos
entre várias plataformas, como Unix, Windows e Macintosh). Em seguida, o
arquivo é decodificado como "/tmp/.a" e executado. O arquivo ".uaa" é então
deletado.

Neste ponto, o worm instala uma backdoor (programa espião) na porta 2001 e
passa a rastrear outros servidores vulneráveis em redes de Classe A, segundo
a F-Secure. Os IPs das redes de Classe A vão de 1.x.x.x a 126.x.x.x; os de
Classe B, de 128.x.x.x a 191.x.x.x; e os de classe C, de 192.x.x.x a
223.x.x.x. Normalmente, os IPs brasileiros começam com 200 e, portanto,
estão na classe C. Isto não é motivo para se despreocupar, pois como já
comentado o código do vírus pode ser modificado.

Se o worm encontrar um servidor rodando Apache, tentará infectá-lo por meio
do bug "chunked encoding". Nestes servidores, mesmo que o sistema não seja
FreeBSD, as tentativas de ataque ficarão registradas e poderão ser
detectadas pelos administradores.

A backdoor instalada na máquina permite que o worm seja controlado à
distância. Segundo a Symantec, o Scalper tem a capacidade de enviar spam a
todos os endereços de e-mail encontrados no servidor infectado; executar
muitas requisições de acesso à porta 80 (padrão para Web sites), o que
degrada a performance dos servidores; e permitir o acesso não-autorizado à
máquina, com a conseqüente execução de programas arbitrários.

De acordo com a F-Secure, os programas executados a partir da backdoor
possuem os mesmos privilégios que os executados por um usuário do servidor.
É possível ainda transformar a máquina infectada num "zumbi", e usá-la para
lançar ataques de negação de serviço a outros servidores.

O worm não modifica as configurações do sistema e pode ser detectado na
lista de processos como ".a". Para removê-lo manualmente, deve-se apagar o
arquivo "/tmp/.a" e "matar" o processo associado ao vírus utilizando-se o
comando "killall -9 .a".

Várias empresas antivírus já possuem vacinas contra o Scalper, que é
considerado de baixo a médio risco, por enquanto. No entanto, o programador
Domas Mituzas, da empresa lituana Microlink Systems - a primeira pessoa a
detectar, na sexta-feira, a atividade do vírus - acredita que a praga esteja
se espalhando. "O worm que nos atingiu veio de um servidor da Polônia e os
comentários estavam em italiano, portanto ele pode vir de qualquer parte do
mundo", comentou em uma entrevista à CNet.

Pela experiência já adquirida com dois outros worms que infectaram centenas
de milhares de servidores - o Code Red e o Nimda - o melhor é se prevenir o
quanto antes. Para isto, basta fazer a atualização do Apache no endereço
http://www.apache.org/dist/httpd/. A atualização impede que o servidor seja
contaminado, mas não impede que sofra ataques de negação de serviço vindo de
outras máquinas infectadas.

_______________________________________________
SECURITY-L mailing list
http://obelix.unicamp.br/mailman/listinfo/security-l


______________________________________________
http://www2.fugspbr.org/mailman/listinfo/fugspbr

Mais detalhes sobre a lista de discussão freebsd