Wurm sucht Wurm

Ein neuer Linux-Wurm sucht nach Servern, die von einem zwei Monate älteren Wurm befallen sind – und repariert sie. "Cheese" untersucht Linux-Rechner auf dem Port 10008; diesen Port verwendet der vor rund zwei Monaten entdeckte Lion-Schädling (1i0n) für seine Backdoor-Funktion. Ist der Rechner vom Lion-Wurm befallen, dringt "Cheese" über die Hintertür in den Rechner ein, schließt sie und sucht von diesem Rechner aus nach weiteren Servern, die die Lion-Backdoor aufweisen.

Die Auswirkungen von Cheese konnte man in den vergangenen Tagen auf der Sicherheits-Mailingliste Bugtraq beobachten: Mehrere Nutzer berichten von zahlreichen Portscans auf 10008 – offenbar findet "Cheese" genügend Lion-infizierte Rechner, um sich stark zu verbreiten.

Die Frage, ob man Cheese als Schädling bezeichnen kann, obschon seine Schadroutine eigentlich "gut" ist, beantworten die meisten Sicherheitsexperten einstimmig: "Die Idee eines Patch-Wurms ist ein netter Gedanke, aber keine Lösung", sagte Kevin Houle vom US-amerikanischen CERT gegenüber CNet. "In Wirklichkeit macht er das Gleiche wie jeder Eindringling, nämlich ein System unautorisiert zu verändern, um anschließend damit andere Systeme anzugreifen". (pab)