分析一个linux下的蠕虫

　　一、简介

　　千年蠕虫(The Millennium Internet Worm)——后面简称worm，是一段script及程序组成的，它执行的功能是利用linux系统的某些远程漏洞，获取该系统的进入权限，并且将自身复制到其上并继续繁殖。现在发现的worm是针对x86的linux中imap4v10.X,Qualcomm popper, bind , rpc.mountd 这些存在明显漏洞的服务进攻的。但它也做了一件好事——修补了安全漏洞……

　　二、技术分析

　　我们最早发现的蠕虫据称是在ADMmountd2的远程漏洞利用程序中的(这个程序是对linux的rpc.mountd服务进行攻击并可获取最高权限——这里不详述)，但ADM组织否认曾经发布过带有该特洛伊程序的代码，并将其归类于假冒ADM作品，可以参见ftp://adm.freelsd.net/ADM/FAKES/ maintained by ndubee@df.ru].

　　这个木马是放在ADMmountd的所谓更新版本中，并在措词中表明这一版本的利用程序更为实用，但其实隐蔽的代码就躲在ADMgetip.c中，ADM在其站点限制了对这一工具的下载，所以这里我把它提供给大家，仅仅是用于教育目的——这一木马于1999-8-15被发现。

　　你可以在http://focus.silversand.net/newsite/tool/adm_fake.c下载ADMgetip-TROJAN-VERSION.c。

　　1、原型

　　该代码段中有一段mworm.tgz的uuencode代码，当运行该程序时，它会被展开于目录/var/tmp/tmp，并且执行一个名为wormup的程序，代码段如下：