目前看來Lupper並沒有迅速的擴散,但是,因為Linux系統比起Windows來說很少受到病毒的侵襲,所以這一事件引起了網絡安全專家的關注。
按照加利福尼亞州Santa Clara的McAfee的說法,Lupper是通過Web 服務器中易受攻擊的的PHP/CGI的腳本進行散布。“它是從Linux/Slapper 和 BSD/Scalper蠕蟲衍生出來的,並繼承了前兩個特征。“McAfee在一次咨詢會上提到。“蠕蟲通過向80端口發送錯誤的HTTP要求,從而襲擊Web服務器,如果服務器中正好有作為攻擊對象的腳本,並且能夠允許遠程文件在PHP/CGI環境下的下載,一個含有蠕蟲病毒的復制文件就會被下載下來,並且被執行。
McAfee說,Lupper的襲擊會形成一個整個網絡范圍內的點對點的交流協議,網絡就會被用來實施分布式的服務拒絕distributed denial of service (DDoS)攻擊,或者是用來達到其他目的。因為現在的網絡接受遠程指令。同時,新病毒還能夠盜取儲存在Web服務器中的電子郵件地址。
Computer Associates的Islandia在一次咨詢會上指出,Lupper還能夠在7111端口出開出UDP的後門backdoor,從而允許遠程的非法控制器進入到機器當中。
Symantec的Cupertino把這個蠕蟲病毒起名為Linux.Plupii,並總結說,一旦病毒文件被執行將會進行如下的操作:
通過UDP 端口 7222給遠程的襲擊者發送確認信息。
在UDP 端口 7222開出後門,允許遠程非法襲擊者進入計算機。
產生出還有一些列編碼的URLs。
向URLs發送HTTP要求,並且試圖通過PHP遠程密碼的弱點來探取XML-RPC或者AWStats以及Darryl Burgdorf Webhints從而進新傳播。
試圖下在並且實行自身的文件,通過名為[http://]62.101.193.244/[REMOVED]/lupii的網址並且把所下載的文件保存為名為/tmp/lupii的文件。
Symantec還在其病毒公告中進行了其他信息和易受蠕蟲攻擊弱點的描述。
在反病毒公司開始注意Lupper的行動之時,Danish vulnerability clearinghouse Secunia也宣布了其他基於Linux的錯誤警告:不安全使用FTP服務器'vsprintf()'函數用來回答FTP客戶要求,產生了Linux-ftpd-ssl錯誤,按照Secunia的說法,一旦輸出量超過2,048字節,這就會導致一個stack-based的緩沖器溢出。這個錯誤可以通過產生出一系列長文件名的子目錄進行襲擊,之後產生'XPWD'命令。而結果就是'XPWD'造成了超過2,048 的字節溢出。
