病毒名称：Linux.Slapper.B

　　别名：ELF/Slapper.Worm

　　病毒类型：Unix/Linux蠕虫

　　危害级别：中

　　传播速度：中

　　技术特征：

　　这是一种感染Linux系统的网络蠕虫，与原版Linux.Slapper.A相似，但有一些新增功能。它会搜索运行Apache服务器的系统，一旦找到能感染的机器，它就会利用Openssl服务器的缓冲溢出漏洞来执行远程shell命令。有关此漏洞的详细信息，请浏览：http://www.kb.cert.org/vuls/id/102795

　　该变种传播的时候，会携带自己的源代码，然后在每台受害机器上进行编译，使得其变成可执行文件。病毒源代码文件名叫“.cinik.c”，会被复制到 “/tmp” 目录下，而其编译过的文件叫“.cinik”，存放在同一目录下，且作为源代码的UUEncoded版本。此变种还含有一个shell脚本/tmp/.cinik.go，用来搜索被感染系统上的文件，然后用蠕虫的二制码覆盖所搜索到的文件。该脚本还会将本地机器及网络的信息通过邮件发送给一个后缀为yahoo.com的邮件地址。

　　假如病毒源文件/tmp/cinik.c被用户删除了，它会从某个站点下载源文件的副本，文件名也叫cinik.c。

　　另外，被感染系统还会在UDP 1978端口上运行一后门服务器端程序。与所有后门程序类似，该服务器端会响应远程未授权用户发送的特殊指令，从而根据指令执行各种不同的操作，例如，其中一条指令是在受感染机器上搜索邮件地址。

　　它会扫描所有目录（三个特珠目录/proc, /dev及/bin除外）下的所有文件，以查找有效的邮件地址。而其中含有字符串“.hlp”及与“webmaster@mydomain.com”相同的地址会被忽略，之外的其他所有邮件地址会作为一清单发送给远程用户起初所指定的IP地址。

　　另外，远程未授权用户还可能发送其他一些指令，如：

　　1.DOS攻击（TCP或UDP）；

　　2.打开或关闭TCP代理（1080端口）；

　　3.执行任意程序；

　　4.获得其他被感染服务器的名称；

　　此变种在扫描可能存在漏洞的机器时，会检查符合如下形式的IP地址：

　　A. B. 0-255.0-255

　　其中B是0到255之间的任意数字；

　　A为从下列列表中随机选择的数字：

　　3 4 6 8 9 11 12 13 14

　　15 16 17 18 19 20 21 22 24

　　25 26 28 29 30 32 33 34 35

　　38 40 43 44 45 46 47 48 49

　　50 51 52 53 54 55 56 57 61

　　62 63 64 65 66 67 68 80 81

　　128 129 130 131 132 133 134 135 136

　　137 138 139 140 141 142 143 144 145

　　146 147 148 149 150 151 152 153 154

　　155 156 157 170 171 172 173 174 175

　　176 177 178 179 180 181 182 183 184

　　185 186 187 188 189 190 191 192 193

　　194 195 196 198 200 201 202 203 204

　　205 206 207 208 209 210 211 212 213

　　214 215 216 217 218 219 220 224 225

　　226 227 228 229 230 231 232 233 234

　　235 236 237 238 239