Informática

» Notícias

» Download

» Vírus e Cia.

» Ajuda

» Análises

» Colunistas

» Imagens

» Especiais

» Contato

CANAIS

» IDG Now!

» PC World

» Wired News

» Computerworld

» Macmania

» Tucows

» Publish

» WD/Jobs

RELACIONADOS

» Outer Space

» Games

» Jornal do Brasil

» MP3Box

» Personal Web

BOLETIM

Username
Senha

Assinar
Cancelar


Sem Username?
BUSCA

digite + enter

» Terra Busca

Capa » Notícias

Infoguerra Vírus Scalper ataca servidores Apache

Segunda, 01 de julho de 2002, 13h45

VEJA TAMBÉM
» Lançado verificador nacional para bug do Apache
» Hackers criam ferramenta para explorar falha no Apache
» Bug do servidor Apache é corrigido
» Falha grave no servidor Apache é divulgada prematuramente

Foi criado o primeiro vírus capaz de infectar servidores Apache vulneráveis. Batizado de FreeBSD.Scalper.Worm, Elf_Scalper.A, ou simplesmente Scalper, além de outros nomes, o worm se aproveita do bug chamado "chunked encoding", recentemente descoberto no Apache.

O bug atinge uma funcionalidade do servidor responsável pela codificação de blocos de dados ("chunked encoding"), permitindo a execução de códigos arbitrários ou ataques de negação de serviço na máquina afetada.

Aproveitando-se dessa brecha, o Scalper (que significa "aquele que executa um escalpo", tortura que foi comum entre os índios Apache) é capaz de instalar um arquivo que dá acesso não-autorizado ao servidor, enviar spam, rastrear outras máquinas vulneráveis, sobrecarregar e degradar a performance da máquina atingida.

O Scalper foi projetado para se disseminar em servidores Apache rodando em sistema operacional FreeBSD, mas os especialistas avisam que o worm pode ser adaptado para funcionar em outros sistemas. A Symantec, por exemplo, informa que já identificou duas variantes do vírus. Após ganhar acesso ao servidor, o Scalper cria o arquivo temporário "/tmp/.uua", que é o próprio vírus codificado em UUEncode (formato universal para transferência de arquivos entre várias plataformas, como Unix, Windows e Macintosh). Em seguida, o arquivo é decodificado como "/tmp/.a" e executado. O arquivo ".uaa" é então deletado.

Neste ponto, o worm instala uma backdoor (programa espião) na porta 2001 e passa a rastrear outros servidores vulneráveis em redes de Classe A, segundo a F-Secure. Os IPs das redes de Classe A vão de 1.x.x.x a 126.x.x.x; os de Classe B, de 128.x.x.x a 191.x.x.x; e os de classe C, de 192.x.x.x a 223.x.x.x. Normalmente, os IPs brasileiros começam com 200 e, portanto, estão na classe C. Isto não é motivo para se despreocupar, pois como já comentado o código do vírus pode ser modificado.

Se o worm encontrar um servidor rodando Apache, tentará infectá-lo por meio do bug "chunked encoding". Nestes servidores, mesmo que o sistema não seja FreeBSD, as tentativas de ataque ficarão registradas e poderão ser detectadas pelos administradores.

A backdoor instalada na máquina permite que o worm seja controlado à distância. Segundo a Symantec, o Scalper tem a capacidade de enviar spam a todos os endereços de e-mail encontrados no servidor infectado; executar muitas requisições de acesso à porta 80 (padrão para Web sites), o que degrada a performance dos servidores; e permitir o acesso não-autorizado à máquina, com a conseqüente execução de programas arbitrários.

De acordo com a F-Secure, os programas executados a partir da backdoor possuem os mesmos privilégios que os executados por um usuário do servidor. É possível ainda transformar a máquina infectada num "zumbi", e usá-la para lançar ataques de negação de serviço a outros servidores.

O worm não modifica as configurações do sistema e pode ser detectado na lista de processos como ".a". Para removê-lo manualmente, deve-se apagar o arquivo "/tmp/.a" e "matar" o processo associado ao vírus utilizando-se o comando "killall -9 .a".

Várias empresas antivírus já possuem vacinas contra o Scalper, que é considerado de baixo a médio risco, por enquanto. No entanto, o programador Domas Mituzas, da empresa lituana Microlink Systems — a primeira pessoa a detectar, na sexta-feira, a atividade do vírus — acredita que a praga esteja se espalhando. "O worm que nos atingiu veio de um servidor da Polônia e os comentários estavam em italiano, portanto ele pode vir de qualquer parte do mundo", comentou em uma entrevista à CNet.

Pela experiência já adquirida com dois outros worms que infectaram centenas de milhares de servidores — o Code Red e o Nimda — o melhor é se prevenir o quanto antes. Para isto, basta fazer a atualização do Apache no endereço www.apache.org/dist/httpd/. A atualização impede que o servidor seja contaminado, mas não impede que sofra ataques de negação de serviço vindo de outras máquinas infectadas.

Giordani Rodrigues

Volta para a capa | Volta para as notícias

Copyright © InfoGuerra 2000-2001. Todos os direitos reservados.


  FÓRUM
Deixe a sua opinião sobre esta e outras notícia
 » Conheça o Terra em outros paísesResolução mínima de 800x600 © Copyright 2002,Terra Networks, S.AProibida sua reprodução total ou parcial
  Anuncie | Assine | Central de Assinate | Clube Terra | Fale com o Terra | Aviso Legal | Política de Privacidade