Linux-Schädling, die Vierte

Der vierte innerhalb kurzer Zeit aufgetretene Schädling für Linux kombiniert die Verbreitungsmethoden seiner Vorgänger. Der "Adore" genannte Wurm sucht bekannte Sicherheitslücken in Linux-Systemen, um diese zu infizieren und sich weiterzuverbreiten.

Wie der im Januar entdeckte"Ramen"-Wurm sucht "Adore" nach älteren Versionen des FTP-Servers wuftpd, die durch mehrere Sicherheitslöcher den unbefugten Zugang ermöglichen. Davon sind in in erster Linie die Red-Hat-Distributionen 6.2 und 7.0 betroffen, sofern diese nicht mit entsprechenden Patches aktualisiert wurden. Außerdem verbreitet sich "Adore" wie der kürzlich aufgetretene Lion-Wurm, indem er nach bekannten Sicherheitslücken im Name-Server BIND sucht und sie ausnutzt, falls sie nicht gestopft wurden.

Neben der Verbreitungsroutine installiert der Schädling wie "Lion" ein so genanntes Rootkit auf dem befallenen Recher, das seine Existenz und Aktivitäten verschleiert. Anschließend verschickt er verschiedene Systemdateien an vier verschiedene Mail-Adressen in den USA und China. Weiterhin baut "Adore" eine Hintertür auf den befallenen Rechner ein, was Angreifern einen einfachen Zugriff auf das System ermöglicht. Schließlich enthält "Adore" noch eine konkrete Schadfunktion: Um vier Uhr morgens nach der Infektion löscht der Schädling alle Dateien außer die Hintertür selbst.

Das SANS-Institut bietet ein Programm, mit dem man Systeme auf den Schädling überprüfen kann.

Schädlinge, die unter Unix-Derivaten Sicherheitslücken ausnutzen, sind nicht neu – schon vor Jahren verbreiteten sich Unix-Schädlinge ohne Aktionen von Benutzern oder Administratoren. Allerdings zeigen die jüngsten Würmer, dass auch Linux immer mehr in den Mittelpunkt der Aufmerksamkeit für Viren-Bastler gerät. Offenbar lässt sich angesichts der Schwemme an Windows-Viren mittlerweile mehr Aufmerksamkeit erreichen, wenn man Schädlinge für Unix erstellt. (pab)