[LinuxOB] Linux-Virus Lirpa verbreitet sich rasch
Christian Hesse
christian.hesse at linuxob.de
Do Apr 1 21:26:28 CEST 2004
Der Virus Lipra, der offenbar ausschließlich auf Linux-Rechner zielt,
verbeitet sich rasch über die bekanntesten Tauschbörsen.
Wie das Sicherheitslabor der japanischen Ryukoku-Universität in einem Memo [1]
mitteilt, wurde der Virus Lirpa vor einigen Tagen zum ersten Mal gesichtet.
Er heftet sich an Medien-Dateien in Tauschbörsen (EDonkey, Kazaa, BitTorrent
usw.) an und wird mit diesen rasant verbreitet. Nachdem knapp über 40 Viren
für Linux bekannt sind, von denen keiner je »in der freien Wildbahn«
anzutreffen war, ist Lipra offenbar der erste gefährliche Linux-Virus.
Die Schadensroutine von Lirpa ist noch nicht vollständig analysiert. Es steht
jedoch zu vermuten, daß sich der Virus am 12. April 2004 aktiviert. Vorher
werden daher keine Spuren von Aktivität festzustellen sein. Der Wurm wird an
diesem Tag, wenn eine der befallenen Dateien abgespielt wird, über lokale
Sicherheitslücken versuchen, seinen Schadenscode auszuführen. Dieser öffnet
zunächst den Port 6449, wozu keine Root-Rechte nötig sind. Dort lauscht er
auf Kommandos von außen und scheint auch sein Vorhandensein zu signalisieren.
Die Kommandos könnten eventuell darin bestehen, Spam zu versenden oder eine
DDoS-Attacke zu starten.
Das Labor hat ein Skript [2] bereitgestellt, das infizierte Dateien erkennen
kann. Tests zufolge arbeitet das Skript mit Virus-Pattern. Auf unserem
Testsystem wurde keine infizierte Datei gefunden, genau wie es bei einem
»sauberen« System zu erwarten war.
Es ist derzeit keine Möglichkeit bekannt, den Virus loszuwerden, außer die
Dateien zu löschen. Zusätzlich sollte man die Tauschbörsen-Software
deinstallieren und die neuesten Versionen aus zuverlässiger Quelle
installieren, sinnvollerweise aber erst nach dem 12. April.
[1] http://www.st.ryukoku.ac.jp/~kjm/security/memo/
[2] http://www.pro-linux.de/security/files/testlirpa.sh
--
Linux - damit der Ausnahmefehler nicht zur Regel wird.
Mehr Informationen über die Mailingliste linux