Ieri am dat peste o stire, cum ca niste servere ruland Apache imprastie virusi ... OK... "Nu-i mare lucru" am zis si am cam ignorat stirea... Mai tarziu spre seara, pe alt site de stiri ... "Open Source Under Attack" ... aceeasi poveste ... tot nu i-am dat mare atentie, cu gandul ca este doar un moment de varf de virusi si cateva buguri ...
Azi dimineata... Guess what!?! - "Mystery infestation strikes Linux/Apache Web sites". M-am decis sa sap un pic, iar mesajul pare a fi autentic si situatia este periculoasa.
Iata in cateva cuvinte despre ce este vorba.
Serverele dinspre care vine astfel de virus / malware / spyware ruleaza Apache (diferite versiuni) si Linux (distributii diverse). Problema este ca nimeni nu stie cum ajunge virusul acolo si pe baza carui principiu se trimite clientilor ce intra pe site. Se pare ca se transmite catre vizitatori aleator, fara nici o regula. Totusi unii sugereaza cum ca s-ar trimite doar o singura data catre o anume adresa IP. In concluzie situatie incepe sa devina incalcita. Un virus ce poti lua / sau nu (aleator) este greu de prins...
Virusul incearca sa sa exploateze pribleme de securitate in Yahoo Messenger si/sau Quicktime pe sisteme de operare Windows. De fapt nimeni nu stie exact ce face virusul. Unii raportau blocarea Internet Explorer, altii spunea incetinirea sistemului, altii raportau utilizare foarte multa de hardisk ... dar nimic concret. Cel mai vulnerabil este Internet Explorer. S-au raportat mai multe situatii si cu Firefox (totusi, versiunile de dupa octombrie 2007 par a fi imune sau mai sigure). Aparent Opera este imun la acest virus, cel putin nu am gasit un raport cu Opera si calculator infectat, doar mai multe mentiuni, cum ca persoanele care folosesc Opera nu s-au infectat.
Cum se raspandeste virusul? Situatia este extrem de complicata, dar in cateva cuvinte: un vizitator (aleator) pe site-ul respectiv determina Apache sa ruleze ceva, care genereaza un script java (cu denumire aleatoare de 5 caractere, ex. abcde.js, diferit de fiecare data). Acest scrip, rulat in browser prin diferite metode - am gasit referiri la flash/asp/activeX/php, fara insa o regularitate intre acestea â va trimite "victimei" codul unui troian (malware/virus/spyware - nu este foarte clar). Acesta, in unele cazuri incearca sa plaseze un fisier video quicktime (movie[1].qt) intr-o fereastra embeded in browser. De asemenea s-au raportat situatii de salvare a fisierului javascript in cache-ul browserului, precum si crearea unui fisier sys?????.exe direct in C:\ (unde ????? reprezinta 5 caractere aleatoare). Acest fisier .exe de fapt nu este un executabil, dupa cum a observat o victima, ci un fisier html...
... si aici se cam termina tot ce se stie despre acest virus. O oarecare protectie va pot oferi antivirusii, care insa, detecteaza treaba ... ia ghiciti ... aleator. Iar o lista simpla de statistica de detectie va poate arata ce confuzie imensa este asupra ceea ce este de fapt virusul:
Scanner results Scan taken on 15 Sep 2007 11:52:13 (GMT)
A-Squared --------------->Found nothing
AntiVir ----------------->Found HTML/EXP.WebVie.A.1
ArcaVir ----------------->Found Trojan.HTML.JScript.Service32.Downloader
Avast ------------------->Found JS:IESlice
AVG Antivirus ----------->Found Exploit
BitDefender ------------->Found Trojan.Downloader.JS.FP
ClamAV ------------------>Found Exploit.CVE-2006-3730
CPsecure ---------------->Found Troj.Exploit.HTML.IESlice.B
Dr.Web ------------------>Found nothing
F-Prot Antivirus -------->Found JS/IESlice.B@dl
F-Secure Anti-Virus ----->Found JS/IESlice.B@dl[/B]
Fortinet ---------------->Found nothing
Kaspersky Anti-Virus ---->Found nothing
NOD32 ------------------->Found JS/TrojanDownloader.Agent.JN
Norman Virus Control ---->Found nothing
Panda Antivirus --------->Found nothing
Rising Antivirus -------->Found Trojan.DL.JS.Agent.lfo
Sophos Antivirus -------->Found Troj/Psyme-EV
VirusBuster ------------->Found nothing
VBA32 ------------------->Found nothing
Cand a aparaut? Primele semne au venit prin august 2007. S-a confirmat prin septembrie 07. S-a luat mai inserios de prin noiembrie 2007. Iar acum, ianuarie 2008, lumea este confuza.
De ce atata vreme cu acest virus pe Internet si pe servere si nici o solutie de 6 luni? Pentru ca, desi este prins (in general/aleator) de antivirusi, luand caracterul lui aleator este foarte greu de reprodus si studiat. In al doilea rand nu se stie cum au ajuns aceste servere infectate. Cea mai mare dilema este cum au fost accesate serverele linux care distribuie virusul, cum a fost implementat in sistem acesta(sunt niste banuieli despre un rootkit) si de fapt ce se viruseaza. Nu s-a gasit nici o legatura intre serverele intial infectate. Nu s-a gasit mecanismul de introducere al acelui rootkit in sistem. Nu s-a gasit mecanismul si rezultatul rularii lui, cu alte cuvinte, ce face de fapt acel rootkit care modificand ceva rezulta ca webserverul transmite virusul. Aparent toate fisierele sunt ok, apache e ok, java e ok ... misterios. Totusi sunt speculatii, si unul dintre efectele secundare ale unui astfel de rootkit activ pe un sistem ar fi ca nu se pot crea foldere care incep cu o cifra (ex. mkdir 1), dar nici asta nu este 100% demonstrata... Ceata totala...
Cei de la Apache spun ca nu pot sa ne recomanda nimic si ca nu s-a dovedit a fi o vulnerabilitate a acestuia.
Cei de la Red Hat spun ca inca nu au reusit sa puna mana pe un server infectat si ca nu se pot pronunta.
C-Pannel zice, acea chestie cu "mkdir 1" si tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'"
SITUATIE: 10.000 de servere estimate a fi infectate
SFATURI:
Pentru a evita acest virus/troian recomand utilizatorilor windows sa foloseasca antivirus la zi, update de sistem la zi, sa evite cat posibil internet explorer si sa foloseasca Opera sau Firefox. Oprirea suportului Java in optiunile browserului reduce de asemenea semnificativ riscul de a primi acest virus.
... sau sa foloseasca Linux :)
SURSE (in engleza):
http://www.linux.com/feature/125548
http://www.channelregister.co.uk/2008/01/16/mysterious_web_infection_continues/
http://forums.3dtotal.com/archive/index.php?t-53062.html
http://forum.avast.com/index.php?topic=30119.0
http://blogs.techrepublic.com.com/networking/?p=425
http://it.slashdot.org/it/08/01/24/1930207.shtml
... si multe altele.
