Linuksowa plaga
„Mighty” jest robakiem internetowym atakującym komputery pracujące pod kontrolą systemu Linux z zainstalowanym serwerem WWW Apache. Szkodnik wykorzystuje lukę w zabezpieczeniach SSL znajdującą się w module „mod_ssl”. Luka ta została wykryta 30 lipca 2002, a jej szczegółowy opis można znaleźć tutaj.
Na ataki robaka podatne są konfiguracje oparte na systemie Linux przeznaczonym dla platformy Intel x86, z zainstalowanym serwerem WWW Apache wykorzystującym OpenSSL starszy niż 0.9.6e oraz 0.9.7-beta. W nowszych wersjach luka wykorzystywana przez robaka została zlikwidowana.
Główny komponent infekujący ma rozmiar około 19 KB i wykorzystuje część kodu popularnego wirusa „Slapper”. Ponadto robak wyposażony jest w funkcję backdoor, która łączy się z serwerem IRC i przyłącza się do specjalnego kanału, poprzez który zdalny użytkownik może kontrolować zainfekowaną maszynę.
Robak składa się z zestawu czterech plików o nazwach „devnull”, „k”, „sslx.c” oraz „script.sh”, przechowywanych w katalogu „/tmp/.socket2”.
„devnull” jest głównym składnikiem odpowiedzialnym za rozprzestrzenianie. Szuka on komputerów, na których port 443 jest otwarty. Backdoor (plik „k”) ma rozmiar 37237 bajtów i został skompilowany przy użyciu kodu popularnego bota IRC – „Age of Kaiten”. Backdoor umożliwia zdalnemu użytkownikowi wykonywanie operacji takich jak pobieranie plików binarnych ze stron WWW i uruchamianie ich oraz zasypywanie zainfekowanego komputera „śmieciami”.
Trzeci składnik robaka – „sslx.c” – jest kodem wykonującym atak przepełnienia bufora OpenSSL. Jest on identyczny jak w przypadku robaka „Slapper”. W kodzie można znaleźć następujący komentarz:
* Linux Apache + OpenSSL exploit
*
* created by andy^ from the bugtraq.c source
Podczas przeprowadzania ataku składnik „sslx.c” pobiera z serwera WWW dodatkowy plik – „script.sh”. Jest to skrypt odpowiedzialny za pobieranie oraz instalowanie modułu rozprzestrzeniającego i backdoora.
W celu oznaczenia zainfekowanego komputera robak tworzy plik „/tmp/.god_you_make_me_laugh_canin-boy”.