scalper 웜바이러스에 대한 정보입니다.

서버점검(특히 chkrootkit)으로 점검한 결과가 아래와 같다면..

Checking `scalper'... Warning: Possible Scalper Worm installed

아래 사항을 참조하시기 바랍니다.

I-Worm.FreeBSD.Scalper
 
별         칭 : FreeBSD.Scalper.Worm,BSD/Scalper.worm,ELF_SCALPER.A
분         류 : 인터넷 웜 활 동 O S : FreeBSD
제   작   지 : 외산 발  견  일 : 2002-06-28
대표적증상 : 메일발송 활  동  일 : 
상세정보
[감염 대상]

아파치 웹 서버의 문제점을 이용하여 감염되는 웜으로서 감염된 시스템은 80포트를 이용하여 또 다른 아파치 서버를 찾고, 찾은 서버에서 Apache Web Server Chunk Handling 문제점을 발견하면,감염되는 동작을 반복하면서 확산된다.

패치를 하지 않은 FreeBSD운영체제를 사용하는 아파치 1.3.24 이하 버전과 2.0.36 이하 버전에서 감염될 수 있다.

하지만,마이크로소프트 윈도우 계열의 모든 운영체제와 Macintosh에서는 감염되지 않는다.

[감염 후 증상]

1.감염된 시스템에서 e메일 주소를 얻어와 스팸메일 형식으로 메일을 발송한다.

2.특정 웹 주소로 접속하게 되어있어 Denial of Service(DOS)공격을 일으킨다.

3.감염된 시스템은 80포트를 사용하여 인터넷상의 존재하는 또 다른 아파치 서버를 찾는 작업을 계속 진행하기 때문에 인터넷 속도가 저하될 수 있다.

4.UDP 포트 2001번을 오픈하여, 시스템을 제어할 수 있게 한다.

*최초 작성 : 2002년 7월 2일 오후 4시 00분. HAURI Inc.

 
치료방법
다음 사이트를 참고하여 해당 문제점을 근본적으로 제거해야 안전하다.

- http://httpd.apache.org/

Apache Web Server Chunk Handling Vulnerability의 대한 사항은 아래의 URL을 참고한다.

- 한국정보보호센터 : http://www.certcc.or.kr/advisory/ka2002/ka2002-060.txt
 

======================
KA-2002-60 : Apache Web Server Chunk Handling Vulnerability
----------------------

최초작성일 : 2002/06/20
갱  신  일 :
출      처 : CERT/CC
작  성  자 : 공재순(kong@certcc.or.kr)

-- 제목 --------------
Apache Web Server Chunk Handling 취약점

-- 해당 시스템 --------
Apache code 버전 1.3∼1.3.24 또는 2.0∼2.0.36 을 기반으로 한 웹서버
                      
-- 설명---------------
Apache는 "chunked" encoding 의 사이즈를 계산하는 메커니즘을 가지고 있다. chunked enconding이란 웹 사용자들
로부터 데이터를 받아들이기 위해 사용되어지는 HTTP 프로토콜의 규약중 한 부분이다. 사용자들로부터 데이터가
보내어지면, 웹 서버는 제출된 데이터를 유지하기 위해 메모리 버퍼 사이즈를 할당해야 한다. 그러나 제출된 데이
터의 사이즈를 알 수 없는 경우 클라이언트나 웹브라우저는 조정된 크기로 생성된 chunks를 통해 서버와 커뮤니케
이션 하게된다.
Apache 버전 1.3∼1.3.24 또는 2.0∼2.0.36 에서는 기본적으로 이 기능이 enable 되어 있다.

Apache HTTP 서버는 유입된 data chunk의 사이즈를 잘못 해석하는 소프트웨어 흐름상의 문제로 인해 signal race,
heap overflow, 악성코드에 의한 exploitation 등을 초래할 수 있다.

--영향-----------------
이 취약점은 구동되고 있는 서버의 소프트웨어 버전과 하드웨어의 플랫폼에 의존적으로 영향을 미친다.

Apache 버전 1.3∼1.3.24 에서는 스택 오버플로우를 발생시킬 수 있다. 64-bit UNIX 플랫폼에서는 리턴 어드레스
가 스택에 저장되기 때문에 오버플로에 의해 컨트롤 할 수 있게되기 때문에 exploit 할 수 있으며, remote에서 공
격자에 의해 임의의 코드 실행을 허용하게된다.   Windows 플랫폼에서도 유사하게 exploit이 가능하고,
웹 컨텐츠를 수정할 수 있다. 

Apache 버전 2.0∼2.0.36 에서는 error condition이 정확하게 체크되기 때문에, 공격자에게 서버상의 임의의 코드
를 실행하도록 허용하지는 않는다. 그러나 child 프로세스를 종료시켜 버리므로 인해 multithreaded model을 사용
하는 플랫폼에서는 Apache 웹서버에 대한 DOS 공격이 야기될 수 있다.

--해결책---------------
1. vendor 별로 패치를 다운로드 받는다.
2. 최신버전으로 업그레이드한다. 1.3∼1.3.24버전 사용자는 1.3.26 버전이상으로, 2.0∼2.0.36버전 사용자는
2.0.39 버전이상으로 업그레이드한다.
http://httpd.apache.org/

--벤더별 정보------------

Apache Software Foundation
New versions of the Apache software are available from:
http://httpd.apache.org/

Conectiva Linux
The Apache webserver shipped with Conectiva Linux is vulnerable to this problem. New packages fixing this
problem will be announced to our mailing list after an official fix becomes available.

Cray, Inc.
Cray, Inc. does not distribute Apache with any of its operating systems.

IBM Corporation
IBM makes the Apache Server availble for AIX customers as a software package under the AIX-Linux Affinity
initiative. This package is included on the AIX Toolbox for Linux Applications CD, and can be downloaded
via the IBM Linux Affinity website. The currently available version of Apache Server is susceptible to the
vulnerability described here. We will update our Apache Server offering shortly to version 1.3.23,
including the patch for this vulnerability; this update will be made available for downloading by
accessing this URL:
http://www-1.ibm.com/servers/aix/products/aixos/linux/download.html
and following the instructions presented there.

Please note that Apache Server, and all Linux Affinity software, is offered on an "as-is" basis. IBM does
not own the source code for this software, nor has it developed and fully tested this code. IBM does not
support these software packages.

Lotus
We have verified that the Lotus Domino web server is not vulnerable to this type of problem. Also, we do
not ship Apache code with any Lotus products.

Microsoft Corporation
Microsoft does not ship the Apache web server.

Network Appliance
NetApp systems are not vulnerable to this problem.

RedHat Inc.
Red Hat distributes Apache 1.3 versions in all Red Hat Linux distributions, and as part of Stronghold.
However we do not distribute Apache for Windows. We are currently investigating the issue and will work on
producing errata packages when an official fix for the problem is made available. When these updates are
complete they will be available from the URL below. At the same time users of the Red Hat Network will be
able to update their systems using the 'up2date' tool.

http://rhn.redhat.com/errata/RHSA-2002-103.html
Unisphere Networks
The Unisphere Networks SDX-300 Service Deployment System (aka. SSC) uses Apache 1.3.24. We are releasing
Version 3.0 using Apache 1.3.25 soon, and will be issuing a patch release for SSC Version 2.0.3 in the
very near future.

 
------- 참조 사이트 --------------------------
http://httpd.apache.org/info/security_bulletin_20020617.txt
http://www.cert.org/advisories/CA-2002-17.html
--------------------------------------------

--------------------------------------------------------------
한국정보보호진흥원(Korea Information Security Agency),
Computer Emergency Response Team Coordination Center , CERTCC-KR
전화: 118 (지방 02-118)  Email: cert@certcc.or.kr
==============================================================