Nombre: Mare.F
Nombre NOD32: Linux/Mare.F
Tipo: Gusano de Internet y caballo de Troya
Alias: Mare.F, ELF/Mare!Worm, ELF_LUPPER.G, Linux.Lupper.I,
Linux.Plupii.C, Linux/Lupper.B!net, Linux/Lupper.E, Linux/Lupper.worm.b, Linux/Lupper-I,
Linux/Mare.C, Linux/Mare.F, Net-Worm.Linux.Lupper.B, Net-Worm.Linux.Mare.e,
Worm.Mare.e, Worm/Linux.Lupper.B
Fecha: 20/feb/06
Plataforma: Unix/Linux
Tamaño: 407,608 bytes
Gusano de redes que abre una puerta trasera de acceso remoto, en equipos
ejecutándose bajo Unix/Linux.
Para propagarse, explota una vulnerabilidad en XML-RPC que permite inyectar
código en páginas PHP, para lograr que una computadora remota descargue y
ejecute al gusano.
El acceso creado, también permite a un usuario remoto controlar el equipo
infectado a través de una consola de comandos (shell) vía IRC. Utiliza los
puertos UDP 27015 y TCP 8080.
Cuando se ejecuta, el gusano genera direcciones IP que utiliza para crear URLs
que incluyen las siguientes cadenas:
/cvs/
/articles/mambo/
/cvs/mambo/
/blog/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/drupal/xmlrpc.php
/phpgroupware/xmlrpc.php
/wordpress/xmlrpc.php
/xmlrpc/xmlrpc.php
Envía solicitudes HTTP a las URLs generadas, intentando explotar la
vulnerabilidad mencionada.
Si lo logra, el equipo vulnerable descargará al gusano de la siguiente dirección
de Internet:
http: // 198 .170 .105 .69/
NOTA: Debido a que un sistema infectado será
seriamente comprometido por las posibles acciones de un atacante remoto, en caso
de infección, no es válida la simple eliminación del gusano propiamente dicho,
sino que se deberá reinstalar totalmente el sistema operativo.
(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com