Simultáneamente, el gusano empieza a rastrear direcciones IP, de forma aleatoria. En cada dirección intenta establecer una conexión TCP contra el puerto 80, enviando una simple petición
HTTP ("GET / HTTP/1.1").

Si la máquina remota responde, el gusano analiza la respuesta. Si el servidor remoto se identifica como Apache envía una segunda petición HTTP que contiene el código del ataque (ver
http://www.idefense.com/idtools/Apache%20Worm.txt).

Este ataque es específico contra la plataforma FreeBSD 4.5.

Infección

El servidor web registra, en el archivo log, la siguiente entrada:

[Sun Jul 7 13:47:19 2002] [error] [client xx.xx.xx.xx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /

Por su parte, en /var/log/messages se registra el siguiente
mensaje:

Jul 7 13:47:25 foobar /kernel: pid 22639 (httpd), uid 80: exited on signal 11

En los sistemas vulnerables, el gusano se copia en el directorio
/tmp con los nombres ".a" y ".uua".

Una vez copiados estos archivos, se ejecuta /tmp/.a, completando
el ciclo.

Detección

Se puede detectar la presencia del gusano comprobando la
existencia de los archivos ".a" y ".uua" en el directorio /tmp.
Otra forma de detectar la actividad del gusano es monitorizando
el tráfico que utilice el puerto 2001/udp.

Eliminación

Para eliminar el gusano de una máquina comprometida deben
borrarse los archivos ".a" y ".uua" del directorio /tmp y matar
el proceso del gusano:

% ps aux | grep ".a"

nobody 1103 0.0 0.4 932 444 v1 S 6:46PM 0:00.00 /tmp/.a xx.xx.xx.xx

% kill -9 1103

Prevención

Actualizar la versión de Apache a la 1.3.26.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=1354

Más información

Hispasec (17-06-02): Vulnerabilidad en Apache
http://www.hispasec.com/unaaldia.asp?id=1331

Continúa