Wurm greift Linux-Systeme an (Update)

Das SANS-Institut warnt vor einem neuen Wurm, der sich unter Linux verbreitet und Hintertüren installiert. Der "Lion" getaufte Schädling nutzt die vor knapp zwei Monaten gemeldete Sicherheitslücke in BIND aus, um sich auf den Systemen zu installieren.

Nachdem "Lion" einen Rechner infiziert hat, versendet er das verschlüsselte Root-Passwort ins Internet; eine anschließende Entschlüsselung ist dann relativ einfach möglich. Weiterhin installiert der Schädling Backdoors, sodass Angreifer direkt auf den betroffenen Rechner zugreifen können. Zudem versucht sich Lion zu tarnen, indem er ein so genanntes Rootkit installiert, dass Protokoll- und Systemdateien austauscht.

Nach Angaben des SANS-Instituts ist der Wurm äußerst schwierig zu entfernen: "Wir denken, solange Anwender nicht brilliant sind, müssen sie die Festplatte(n) löschen und ihr System neu installieren, um den Wurm wieder loszuwerden" sagte Alan Paller, Chef der Forschung bei SANS gegenüber CNet. "Wir glauben nicht, dass er entfernt werden kann".

Offenbar handelt es sich bei dem Schädling um eine Variante des im Januar aufgetauchten Linux-Wurms Ramen. Betroffen sind momentan nur Linux-Systeme, Paller glaubt allerdings, dass der Schädling schnell auf andere Unix-Derivate wie Solaris oder AIX portiert werden könne. Das SANS-Institut stellt ein von William Stearns entwickeltes Utility bereit, mit dem sich überprüfen lässt, ob ein System durch den Wurm befallen wurde. Mit diesem Lionfind genannten Tool lasse sich der Wurm jedoch nicht entfernen, heißt es in den Informationen des SANS-Instituts. (pab)