GUSANO

Lion

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: Unix/Lion, Linux/Lion, Linux. Lion.Worm, Lion Worm

Descubierto en Marzo de 2001 se trata de un gusano de Internet de Acceso Remoto con origen en China, que afecta a servidores bajo el sistema operativo Linux. Este gusano no afecta a PC's bajo ninguna versión de Windows.

Lion escanea buscando equipos Linux, y si los encuentra, intenta explotar una vulnerabilidad en ellos para infectarlo (TSIG vulnerability). Afecta a cualquier equipo Linux que tenga instalado y ejecutando el servidor BIND DNS, en sus versiones 8.2, 8.2-P1, 8.2.2, 8.2.2Px y todas las 8.2.3-betas de BIND (Berkeley Internet Name Domain).

Cuando el gusano entra en el sistema, primero crea un directorio "dev/.lib". Una vez hecho esto, roba los archivos de contraseñas (que son enviados a una dirección de correo electrónico en china.com), instala herramientas de hacking, y hace que el equipo comience un nuevo escaneo para reproducirse nuevamente.

El gusano utiliza la herramienta llamada "raandb", con la que escanea de forma aleatoria redes clase B por el puerto TCP 53. Si encuentra un sistema que tenga dicho puerto en estado de escucha, intenta explotar la vulnerabilidad e instala en el sistema un rootkit de nombre t0rn.

Al instalarse con éxito, el gusano lleva a cabo las siguientes acciones:

Envía los contenidos de/etc/passwd, /etc/shadow y otras informaciones de la red al dominio de correo @china.com

Elimina el archivo /etc/hosts.deny, destinado a proteger el sistema TCP Wrappers.

Instala interfaces de root en los puertos 60008/tcp y 33567/tcp (vía inetd, modificando /etc/inetd.conf)

Instala una versión troyanizada de ssh que escucha el puerto 33568/tcp

Como parte del rootkit, varios sistemas ejecutables son reemplazados con versiones modificadas:

/usr/sbin/in.finger
/bin/ps
/sbin/ifconfig
/usr/bin/du
/bin/netstat
/usr/bi/top
/bin/ls
/usr/bin/find

Añade los siguientes archivos en el sistema:

/bin/in.telnetd
/bin/mjy

El t0rn rootkit reemplaza varios binarios del sistema para ocultarse. Los binarios que reemplaza son los siguientes:

Du, find, ifconfig, in.telnetd, in.fingerd, login, Is, mjy, netstat, ps, pstree, top.

Adicionalmente el rootkit crea su configuración y datos de backup en los siguientes directorios:

/usr/man/man1/lib/.lib/
/usr/man/man1/lib/.lib/.backup/
/usr/src/.puta/
/usr/info/.t0rn/

Elimina el Syslogd, evitando que el sistema siga registrando la actividad.

Instala una versión troyanizada del login.


Copyright © VIRUSPROT.COM