New York - Nach einem Bericht der Virenschützer
von Sans http://www.sans.org ist in den USA ein weiterer Linuxwurm
aufgetaucht. Adore nutzt vier bekannte Sicherheitslücken aus, um in
Server mit Linux-Betriebssystem einzudringen und installiert eine
Hintertür. Danach sendet der Wurm vier E-Mails an Adressen in den USA und
China und löscht sich selbst. http://www.sans.org/y2k/adore.htm
Adore nutzt die selben Schwächen wie der Ramen- und der Lion-Wurm. Für
diese Sicherheitslücken bestehen bereits seit einigen Monaten Patches.
Nachdem der Wurm in das System eingedrungen ist, ersetzt er die
Applikation PS durch eine Kopie. Die Applikation zeigt dem
Systemadministrator an, welche Programme auf dem Server aktiv sind. In
der Kopie wird Adore nicht angezeigt. Danach versendet der Wurm die
Systemdaten an vier E-Mailadressen mit den Benutzernamen adore9000 oder
adore9001.
Daneben ersetzt der Wurm das Internet Control Message Protocol (ICMP) mit
einer weitgehend identischen Version. Allerdings ist in diesem Paket eine
Hintertür enthalten, das die Sicherheitsfunktionen des Servers umgeht,
wenn der Server die entsprechende Sequenz aus dem Internet erhält. Wurde
der Befehl ausgeführt, aktiviert Adore eine Zeitfunktion, die alle Spuren
des Wurms bis auf die Hintertür löscht.
Sans hat ein Programm unter dem Namen "adorefind" veröffentlicht. Dieses
Programm kann feststellen, ob der Wurm in das System eingedrungen ist.
Das Programm ist unter http://www.sans.org/y2k/adorefind-0.2.0.tar.gz
verfügbar.
