Gemeinschaft::Personen
Weitere Varianten des Lion-Wurms
Der kürzlich entdeckte [a 0.2862]Lion-Wurm[/a], der Linux-basierte BIND (DNS)-Server attackiert, ist inzwischen in drei Varianten bekannt.
Das SANS-Institut (System Administration, Networking and Security), das die ursprüngliche Meldung herausgab, hat diese inzwischen mehrfach aktualisiert. Nach wie vor kann der Wurm aber nur Systeme befallen, die eine fehlerhafte Version von BIND installiert und am Laufen haben.
"The Register" hat offenbar eine Kopie einer neuen Version des Wurms erhalten, die letzte Woche veröffentlicht wurde. Die Einschätzung der Analysten ist, daß der Wurm sehr ausgereift und selbst von Skript-Kiddies zu bedienen ist. Er modifiziert so viele Dateien auf einem befallenen System, daß eine Neuinstallation die einzig sinnvolle Alternative ist.
Diesen Dienstag wurde eine weitere Version veröffentlicht, die ein Feature ähnlich dem des Ramen-Wurms enthält. Sie startet einen Webserver auf Port 27374, der eine Seite mit Grüßen von der "Lion Crew" anzeigt.
Das Hilfsprogramm "Lionfind" von William Stearns, das über die SANS-Seite zu beziehen ist, kann befallene Systeme identifizieren. Stearns arbeitet auch an einem automatischen Entfernen, doch dies wird nicht so schnell zur Verfügung stehen.
