Lupper.A

Lupper.A – червь, распространяющийся через Web сервера, эксплуатирующий уязвимости в Web приложениях. Тело червя содержит 47,203 байтовую I386 ELF программу.

Lupper пытается выполнить набор из 4-х команд на удаленном сервере.

Изменяет папку к /tmp

Загружает копию червя с именем “lupii” с жестко прописанного IP адреса используя Wgt

Изменяет атрибуты исполнения

Выполняет загруженную копию червя

Червь экплуатирует следующие уязвимости:

AWStats Rawlog Plugin Input Vulnerability (Bugtraq 10950)

XML-RPC for PHP Remote Code Execution Exploit (CAN-205-1921)

Пытаясь эксплуатировать уязвимость в AWStat, червь ищет уязвимый сценарий в следующих местоположениях:

  
  /cgi-bin/awstats.pl
  /awstats/awstats.pl
  /cgi-bin/awstats/awstats.pl
  /cgi/awstats/awstats.pl
  /scripts/awstats.pl
  /cgi-bin/stats/awstats.pl
  /stats/awstats.pl
  

Пытаясь эксплуатировать уязвимость в XML-RPC, червь ищет уязвимый сценарий в следующих местоположениях:

  
  /xmlrpc.php
  /xmlrpc/xmlrpc.php
  /xmlsrv/xmlrpc.php
  /blog/xmlrpc.php
  /drupal/xmlrpc.php
  /community/xmlrpc.php
  /blogs/xmlrpc.php
  /blogs/xmlsrv/xmlrpc.php
  /blog/xmlsrv/xmlrpc.php
  /blogtest/xmlsrv/xmlrpc.php
  /b2/xmlsrv/xmlrpc.php
  /b2evo/xmlsrv/xmlrpc.php
  /wordpress/xmlrpc.php
  /phpgroupware/xmlrpc.php

Lupper.A открывает UDP бекдор на 7111 порту, позволяя удаленному пользователю получить неавторизованный доступ к уязвимой системе.