[LinuxOB] Linux-Virus Lirpa verbreitet sich rasch

[Christian Hesse]

Der Virus Lipra, der offenbar ausschließlich auf Linux-Rechner zielt, 
verbeitet sich rasch über die bekanntesten Tauschbörsen.

Wie das Sicherheitslabor der japanischen Ryukoku-Universität in einem Memo [1] 
mitteilt, wurde der Virus Lirpa vor einigen Tagen zum ersten Mal gesichtet. 
Er heftet sich an Medien-Dateien in Tauschbörsen (EDonkey, Kazaa, BitTorrent 
usw.) an und wird mit diesen rasant verbreitet. Nachdem knapp über 40 Viren 
für Linux bekannt sind, von denen keiner je »in der freien Wildbahn« 
anzutreffen war, ist Lipra offenbar der erste gefährliche Linux-Virus.

Die Schadensroutine von Lirpa ist noch nicht vollständig analysiert. Es steht 
jedoch zu vermuten, daß sich der Virus am 12. April 2004 aktiviert. Vorher 
werden daher keine Spuren von Aktivität festzustellen sein. Der Wurm wird an 
diesem Tag, wenn eine der befallenen Dateien abgespielt wird, über lokale 
Sicherheitslücken versuchen, seinen Schadenscode auszuführen. Dieser öffnet 
zunächst den Port 6449, wozu keine Root-Rechte nötig sind. Dort lauscht er 
auf Kommandos von außen und scheint auch sein Vorhandensein zu signalisieren. 
Die Kommandos könnten eventuell darin bestehen, Spam zu versenden oder eine 
DDoS-Attacke zu starten.

Das Labor hat ein Skript [2] bereitgestellt, das infizierte Dateien erkennen 
kann. Tests zufolge arbeitet das Skript mit Virus-Pattern. Auf unserem 
Testsystem wurde keine infizierte Datei gefunden, genau wie es bei einem 
»sauberen« System zu erwarten war.

Es ist derzeit keine Möglichkeit bekannt, den Virus loszuwerden, außer die 
Dateien zu löschen. Zusätzlich sollte man die Tauschbörsen-Software 
deinstallieren und die neuesten Versionen aus zuverlässiger Quelle 
installieren, sinnvollerweise aber erst nach dem 12. April.

[1] http://www.st.ryukoku.ac.jp/~kjm/security/memo/
[2] http://www.pro-linux.de/security/files/testlirpa.sh

-- 
Linux - damit der Ausnahmefehler nicht zur Regel wird.