247635

Linux-Wurm greift um sich

Nachdem viele Linux-Anhänger immer behauptet hatten, dass für sie Viren keine Rolle spielen würden, kam jetzt das böse Erwachen: Gestern wurden diverse Internet-Server vom Ramen-Wurm heimgesucht. Der Wurm zeigt hierbei ein höchst sonderliches Verhalten.

Nachdem viele Linux-Anhänger immer behauptet hatten, dass für sie Viren keine Rolle spielen würden, kam jetzt das böse Erwachen: Gestern wurden diverse Internet-Server vom Ramen-Wurm heimgesucht, der zwei seit langem bekannte Sicherheitslöcher in wuftp und rpc.statd ausnutzt, für die es zwar Patches gibt, die aber anscheinend nur selten eingespielt wurden.

Dabei versucht der Wurm zunächst, das Loch in wuftp auszunutzen, um Daten auf dem Rechner kopieren zu können. Anschließend verschafft er sich mittels rpc.statd Administrator (Root)-Rechte. Danach ersetzt er die Startseite des Webservers durch "RameN Crew Hackers looooooooooooooooove noodles. TM This site powered by Top Ramen". Zusätzlich holt er nach, was der Systemadministrator vorher versäumt hat: Er installiert die beiden Sicherheitspatches, so dass ein zukünftiger Angriff unmöglich gemacht wird. Weiterhin versucht er, ungeschützte Server zu finden und ebenfalls zu infizieren.

Der Wurm besteht im Wesentlichen aus Programmcode, der zu Demonstrationszwecken der Sicherheitslücken geschrieben wurde. Diese scheint jemand zu dem Wurm zusammengefügt zu haben. Da der Wurm Sonderheiten von RedHat ausnutzt, kann er auch nur RedHat, aber keine SuSE-Installationen infizieren, was aber durch geringe Änderungen ebenfalls möglich wäre.

Sowohl das Problem in wuftp, als auch die Lücke in rpc.statd sind seit Langem bekannt und es existieren hierfür auch entsprechende Sicherheitspatches. Warum diese trotz CERT-Warnungen (Computer Emergency Response Team) nur von wenigen installiert wurden bliebt fraglich.

Dies ist aber auch mit Vorfällen in der Windows-Welt vergleichbar. So kann sich der JS/Kak-Worm etwa nur verbreiten, wenn die Sicherheitspatches von Microsoft nicht eingespielt wurden. Und dies scheint bei vielen Systemen der Fall zu sein, denn laut Sophos liegt er mit 17% der Infektionen klar auf Platz eins der Viren des Jahres 2000. (PC-WELT, 19.01.2001, am)

CERT Advisories zu WUFTP

CERT Advisories zu RPC.STATD

Sophos Viren Top-Ten 2000

Windowsupdate gegen JS/Kak und andere Würmer

Die Top-Viren im Usernet (PC-WELT Online, 20.06.2000)

Kak-Wurm verbreitet sich (15.06.2000)

0 Kommentare zu diesem Artikel
247635