Home > Dicas

Identificadas duas variantes do worm Slapper

As novas versões da praga usam diferentes portas UDP para se comunicarem com outros servidores infectados e possuem nomes diferentes.

Paul Roberts

18/07/2005 às 11h57

Foto:

O mercado iniciou ontem (24/09) um alerta sobre duas variantes da praga virtual Slapper, que afeta servidores Web Apache em sistemas Linux.

As variantes, conhecidas como Slapper.B e Slapper.C, são modificações da praga virtual Slapper, ou Slapper. A, que surgiu há cerca de duas semanas, e podem apresentar grandes dificuldades de remoção nos sistemas infectados.

A praga, que explora uma vulnerabilidade conhecida como buffer overflow no processo de inicialização do Secure Sockets Layer 2.0 (SSLv2), já infectou milhares de servidores Web, no mundo todo, segundo a empresa de segurança F-Secure.

O worm usa a vulnerabilidade no SSL para transferir código-fonte malicioso para uma máquina remota, depois o compila, produzindo um executável, conforme explica um alerta divulgado no site do Computer Emergency Response Team (CERT).

Uma vez infectados pela praga Slapper, os servidores Web tornam-se hospedeiros de uma grande rede peer-to-peer juntamente com outros servidores infectados, que buscam os próximos alvos vulneráveis, coordenando-se entre si por meio de portas UDP (User Datagram Protocol).

As variantes do Slapper.A usam diferentes portas UDP para se comunicarem com outros servidores infectados e possuem nomes diferentes. Enquanto o Slapper.A usa o nome bugtraq e usa a porta UDP 2002, o Slapper.B chama-se cinik e se baseia na porta 1978 e o Slapper.C tem o nome de unlock e usa a porta 4156.

Os administradores de sistemas e empresas de antivírus podem identificar a presença dos worms fazendo buscas nos diretórios e arquivos dos servidores baseados nesses nomes e analisando se há tráfego pesado anormal nessas portas.

Contudo, o Slapper.B contém outras modificações que o tornam sua remoção mais difícil. Segundo especialistas da F-Secure, a variante é capaz de recuperar seu código-fonte de uma página Web no domínio home.ro depois de o worm ter sido removido dos servidores infectados. A praga usa um software gratuito chamado wget para realizar o procedimento. Administradores do domínio, que fica localizado na Romênia, foram notificados e a página já foi apagada, segundo informações da F-Secure.

Leia mais sobre este e outros assuntos no IDG Now!.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail