El virus NIMDA es un virus/troyano de los de ultima hornada, que utiliza varias tecnicas diferentes para atacar: Correo Electronico (gracias al OutLook), al visualizar pagina web (gracias al IE y puede que a otros navegadores), red local de Windows (gracias a Microsoft) y atacando servidores web (gracias al ISS de Microsoft).

Pero que tiene todo esto que ver con Linux ? …

[NUEVO]: Correccion de errores, multiples enlaces nuevos y nueva seccion sobre el Sircam.

[ACTUALIZACION]: Ejecucion del virus Sircam en Linux usando Wine.

Voy a centrarme en el ultimo de los metodos de ataque: infeccion de servidores web (se basa en aprovechar un error relacionado con la escalada de directorios a traves de caracteres Unicode en la URL), en servidores Internet Information Server:

El ataque lo que hace es mandar una peticion GET que busca el cmd.exe de los windows o el root.exe de otros troyanos como el Code Red II, de forma que si el ISS es vulnerable conseguira infectalo y este ordenador pasara a buscar nuevas victimas.

El virus scanea direcciones IP por Internet, atacando a todo tipo de maquinas.

Si tenemos activado el servidor Apache en nuestro Linux, quedaran registrados en sus log’s todos estos ataques a nuestra maquina. Pudiendo conocer quien nos esta atacando y desde que IP concretamente de una forma muy sencilla:

Aqui podemos ver las peticiones que esta haciendo el nimda y otros

troyanos como el CodeRed II:

egrep “cmd\.exe|root\.exe|\.ida” /var/log/httpd/access_log

Y esta nos devuelve el numero de ip’s diferentes desde las que nos han atacado:

egrep “cmd\.exe|root\.exe|\.ida” /var/log/httpd/access_log | \
awk ‘{print $1}’ | sort | uniq | wc -l

Aqui tenemos firmas de ataques de otros gusanos:

egrep “scripts|_vti_bin|_mem_bin” /var/log/httpd/access_log | \
cut -f1 -d” ” | sort | uniq | wc -l

(Nota: La ubicacion del fichero de lods puede ser diferente, se puede averiguar

tecleando locate access_log. La contrabarra “\” indica que el comando

sigue en la linea siguiente)

Ahora podemos saber la direccion y el dominio madre de esa IP, utilizando el comando whois

http://bulma.net/body.phtml?nIdNoticia=380

Posibles medias a tomar:

– Programas que detectan y manda correo a los administradores de las maquinas

y/o listas especiales de maquinas infectadas:
codeblue-v4:

Este programa escrito en C, recorre un fichero de log’s buscando ataques por

virus del tipo Code-Red y similares, una vez encontrada la direccion IP,

intenta establecer una conexion con dicha maquina, para enviarle un correo

avisando al Administrador de la infeccion.

http://www.tenebrous.com/files/codeblue-v4.tar.gz

wormreport-1.2

Este programa tambien recorre los logs, generando un informe con el numero

de accesos, el nombre, la IP e intenta averiguar el domino.

Luego este log se manda a una direccion para coordinar y corregir el problema.

http://tuxzone.net/scripts/wormreport-1.2.tar.gz

Nimda Notifyer:

Similar a los anteriores manda al coordinador de netblock un correo informado de las maquinas infectadas.

http://www.digitalcon.ca/nimda/nimda-notify.pl

CNimda de Felix-Gabriel Gangu

Este programa en PHP, que muestra los intentos del NIMDA de infectar tu servidor.

http://phpclasses.upperdesign.com/browse.html/package/335

Snort es un NIDS, Network Intruction Detection System; en este articulo nos dan las claves para configurarlo de forma que nos detecte los ataques del nimda.

http://www.snort.org/article.html?id=31

http://lizard.drsuse.org/snort/snort18.html

– LaBrea:

La idea detras del programa LaBrea, es crear unas maquinas virtuales usando direcciones IP de nuestra propia red no utilizadas, de forma que aunque no detienen al virus/gusano/troyano, lo mantienen entretenido, aligerando notablemente el impacto de los mismo en nuestras redes.

http://www.hackbusters.net/LaBrea/

– Samba, nmap: Conociendo la ip de la maquina que nos esta atacando, y sabiendo que tendra compartida una carpeta con el usuario administrador y sin permisos, podemos usar los comandos del samba: nmblookup, smbclient y smbmount, para acceder a la misma y dejarle una mensaje al administrador del sistema, o incluso podriamos detener el ataque. Seria un especie de autodefensa 😉

Aunque no se las implicaciones legales de esta opcion, puesto que incluso

nos podrian acusar de acceso ilegar a sus maquinas :-(. Cuidado!.
http://www.samba.org
http://www.insecure.org/nmap/

Usando Iptables y el script ipblock podemos bloquear las direcciones IP que esten infectadas y que nos estan saturando nuestras redes:

http://bulma.net/body.phtml?nIdNoticia=861

Deteccion de virus con tcpdump:

http://bulma.net/body.phtml?nIdNoticia=843

He realizado una selecion de documentacion y

programas/scripts sobre estos

virus/gusanos/troyanos, seguro que aqui puedes encontrar informacion

complementaria y muy valiosa; como la que explica como configurar el apache,

de forma que cuando le llegue algun intento de infeccion, responda mandado

una paguina web, al servidor infectado, usando la misma vulnerabilidad que

explota el troyano:

• http://www.dasbistro.com/default_ida_info.html

• http://salfter.dyndns.org/codered.shtml

• http://ogg.2y.net/default.txt

• http://www.beezhive.com/~mike/nimda.phps

• http://michel.arboi.free.fr/UKUSA/couic.html

• http://www.incidents.org/react/nimda.php

• http://woodynet.siscom.net/Apache-CodeRed-1.08.tar.gz

• http://www.everydns.net/~davidu/Apache-Nimba-0.1.tar.gz

• http://www.incidents.org/react/nimda.php

Otro de los virus que todavia se mantiene vivo y en su dia causo bastantes

problemas, al colapsar los buzones de correo, de miles de usuarios en todo

el mundo, es el Sircam. Este virus se autoreplica,

usando una vulnerabilidad del OutLook, mandando

correos con ficheros adjuntos de considerable tamaño y con mensajes tan

sugerentes como Te mando este fichero para que me des tu opinion,

siendo el origen del mensaje alguien conocido por el destinatario.

Aqui el problema radica en poder borrar de nuestros buzones, los enormes

correos (que ademas llevaban el virus):

Os presento tres posibles alternativas, Mailfilter, AniMail

y PopMail, pero existen muchas mas alternativas y posibilidades:

– Mailfilter o cómo remediar un ataque del Sircam:

http://barrapunto.com/article.pl?sid=01/08/08/0633233&mode=thread&threshold=

http://www.planetalinux.com.ar/article.php?aid=52

http://mailfilter.sourceforge.net/

– Animail:

href=”http://www.escomposlinux.org/fer_y_juanjo/linux.php?pag=animail.html

– PopMail:

http://www.escomposlinux.org/sromero/prog/popmail.html

Ejecucion del virus Sircam en Linux usando Wine.

Parece ser que usando el wine

(Wine Is Not an Emulator – Wine no es un emulador,

sino realmente es una capa de

abstraccion que permite ejecutar binarios de windows en Linux),

se ha conseguido ejecutar el virus Sircam en sistemas Linux,

pudiendo estudiarlo internamente de una forma totalmente controlada

e inofesiva:

http://www.vnunet.com/News/1125594

|

http://appdb.codeweavers.com/appview.php?appId=277

—

Carlos (aka carcoco)

http://bulma.net/todos.phtml?id_autor=132

Este post ha sido traido de forma automatica desde https://web.archive.org/web/20140625063149/http:/bulma.net/body.phtml?nIdNoticia=865 por un robot nigromante, si crees que puede mejorarse, por favor, contactanos.