Las fallas explotadas, fueron publicadas a finales del pasado mes de julio, por “The OpenSSL Group”, pero como suele ocurrir, existen muchos usuarios que no han actualizado sus versiones.
Una de las características de este gusano, es que se trata del primero que hace uso de la tecnología de redes Peer-To-Peer (P2P) a nivel de servidor en Linux, lo que permite que los servidores infectados sigan conectados entre si mediante protocolos propios.
Esto habilita una multitud de posibilidades al atacante que se aproveche de su acción. El gusano, es capaz de capturar direcciones de correo electrónico, y posiblemente futuras versiones o actualizaciones podrían ser más destructivas.
El viernes, primer día que fue reportado, se llegó a más de 2000 infecciones detectadas en Portugal y Rumania, países donde ocurrieron las primeras infecciones.
El gusano puede infectar servidores Linux con software de Red Hat, Mandrake, Caldera, Slackware o Debian, cuyos protocolos SSL (Secure Sockets Layer) de OpenSSL Group’s no hayan sido actualizados a la versión 0.9.6g. Esta versión soluciona la falla reportada en julio en OpenSSL, lo cuál impide el funcionamiento del gusano.
SSL (Secure Sockets Layer), es un protocolo de seguridad estándar que proporciona privacidad para datos y mensajes, y que permite autenticar los datos enviados. Básicamente se utiliza para transmitir información personal o relacionada con tarjetas de crédito de los usuarios a través de Internet.
Generalmente las direcciones de páginas Web que utilizan conexiones SSL, comienzan con ‘https:’ en lugar del estándar ‘http:’.
Lo que más preocupa a los expertos, es que el gusano utiliza su propio protocolo para conectarse a redes Peer-To-Peer (las redes “par a par” permiten conexiones computadora a computadora, y el ejemplo más cercano para los usuarios domésticos, son las redes como KaZaa o Morpheus, las cuáles aplican este tipo de comunicación).
El hecho de utilizar un protocolo propio, permite implementar cualquier clase de comandos, incluso destructivos, y enviarlos a todos los host infectados sin ningún tipo de alerta que pueda interceptarlo.
Linux.Slapper.Worm hace su aparición curiosamente al cumplirse un año del descubrimiento de otro gusano también de propagación masiva, el Nimda. Nimda llegó a provocar problemas de negación de servicio por la gran actividad de escaneo buscando nuevas computadoras, lo que comprometía el rendimiento de las redes involucradas debido al gran consumo de ancho de banda.
Slapper va un paso más allá, estableciendo enlaces entre las máquinas Linux que infecta, en lugar de buscarlas como hacía Nimda en máquinas Windows.
VARIANTE: Slapper.A
El gusano explota un desbordamiento de búfer del software OpenSSL, para ejecutar un shell en el sistema infectado.
El gusano intenta conectarse a través del puerto 80 (petición HTML normal) con instrucciones GET inválidas, para detectar el sistema (servidor Apache en Linux).
Luego, intentará una conexión a través del puerto TCP 443, enviando códigos que le permiten monitorear la presencia de un servicio SSL en la máquina infectada.
El código usado por el gusano en el Shell creado en Linux, solo funciona en procesadores de Intel. También requiere que el shell se encuentre en la ubicación /bin/sh para poder ejecutarse.
El gusano crea una copia uuencodeada de si mismo en /tmp/.uubugtraq, y utilizando su propia rutina de desencriptación (comando UU encoding), se descodifica en el archivo /tmp/.buqtraq.c
La única manera de mostrar el archivo “.bugtraq.c” con el comando “ls” es si se usa con el parámetro “-a” (ls -a).
Luego, el gusano utiliza el compilador “gcc” para crear una copia ejecutable de si mismo en /tmp/.bugtraq.
Este binario es ejecutado con una dirección IP como parámetro. Esta dirección corresponde a la máquina del atacante y se utiliza para crear una red de sistemas infectados por el gusano con el propósito de ejecutar ataques de denegación de servicio.
Cada sistema comprometido, queda a la escucha por el puerto UDP 2002, esperando otras instrucciones.
El gusano utiliza una tabla propia para generar direcciones IP de clase A, lo que le permite acceder a nuevas máquinas que estén corriendo servidores Apache.
El gusano solo funciona en computadoras con procesador Intel, ejecutando las siguientes distribuciones de Linux, y con el servidor Apache y OpenSSL anterior a la versión 0.9.6g habilitados:
Red Hat
SuSE
Mandrake
Slackware
Debian
Slapper es muy similar al gusano Scalper, y su teoría de propagación parecida a la del famoso CodeRed que infectaba servidores IIS de Microsoft (julio de 2001).
Recomendaciones
El gusano depende de la presencia del compilador “gcc” en la computadora infectada para funcionar correctamente. Además dicho software debe tener permiso de ejecución de parte del usuario de Apache. Por lo tanto, una medida de protección sería quitar “gcc” del sistema o limitar su acceso.
Reparación manual
Para borrar manualmente el virus, primero que nada, asegúrese de actualizar sus antivirus para Linux con las últimas definiciones, luego proceda a revisar su sistema.
El gusano puede ser borrado, matando con el comando “kill” de Unix, el proceso “.bugtraq”.
Además, los siguientes archivos deben ser eliminados:
/tmp/.uubugtraq
/tmp/.bugtraq.c
/tmp/.bugtraq
