Worm.Linux.DARLLOZ.AA

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

Se aprovecha de las vulnerabilidades de software para propagarse por las redes.

Instalación

Crea las carpetas siguientes:

• /var/run/.zollard

Otras modificaciones del sistema

Elimina los archivos siguientes:

• /var/run/.lightscan
• /var/run/lightscan
• /var/run/.lihtscan
• /var/run/mipsel
• /var/run/mips
• /var/run/sh
• /var/run/arm
• /var/run/ppc
• /var/run/m
• /var/run/mi
• /var/run/s
• /var/run/a
• /var/run/p
• /var/run/msx
• /var/run/mx
• /var/run/sx
• /var/run/ax
• /var/run/px
• /var/run/32
• /var/run/sel
• /var/run/pid
• /var/run/gcc
• /var/run/dev
• /var/run/psx
• /var/run/mpl
• /var/run/mps
• /var/run/sph
• /var/run/arml
• /var/run/mips.l
• /var/run/mipsell
• /var/run/ppcl
• /var/run/shl
• /bin/pp
• /bin/mi
• /bin/mii
• /var/run/arm
• /var/run/mips
• /var/run/mipsel
• /var/run/ppc
• /var/run/sh
• /var/run/.lamorte/.log
• /var/run/.lamorte/.out
• /var/run/.lamorte/lamortee
• /var/run/ash
• /var/run/mish
• /var/run/msh
• /var/run/psh
• /var/run/sshd
• /var/run/telnetd
• /var/run/.output
• /var/run/.results
• /var/run/.logd_a
• /var/run/.logd_m
• /var/run/.logd_ms
• /var/run/.logd_p
• /var/run/.logd_s
• /var/tmp/dreams.install.sh
• /var/tmp/ep2.ppc
• /var/run/.cmd.run
• /dev/shm/cmd.so
• /dev/shm/que
• /dev/cmd.so
• /dev/que
• /var/cmd.so
• /media/cmd.so
• /media/http.so
• /tmp/hi
• /tmp/http.so
• /tmp/que
• /usr/bin/-wget

Elimina las carpetas siguientes:

• /var/run/.lamorte

Propagación

Se aprovecha de las vulnerabilidades de software siguientes para propagarse por las redes:

• CVE-2012-1823

Finalización del proceso

Finaliza los servicios siguientes si los detecta en el sistema afectado:

• inetd
• inetd.busybox
• telnetd
• xinetd

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• inetd
• xinetd
• telnetd
• utelnetd
• scfgmgr