Do, 1. April 2004
Der Virus Lipra, der offenbar ausschließlich auf Linux-Rechner zielt, verbeitet sich rasch über die bekanntesten Tauschbörsen.
Wie das Sicherheitslabor der japanischen Ryukoku-Universität in einem Memo mitteilt, wurde der Virus Lipra vor einigen Tagen zum ersten Mal gesichtet. Er heftet sich an Medien-Dateien in Tauschbörsen (EDonkey, Kazaa, BitTorrent usw.) an und wird mit diesen rasant verbreitet. Nachdem knapp über 0 Viren für Linux bekannt sind, von denen keiner je »in der freien Wildbahn« anzutreffen war, ist Lipra offenbar der erste gefährliche Linux-Virus.
Die Schadensroutine von Lirpa ist noch nicht vollständig analysiert. Es steht jedoch zu vermuten, daß sich der Virus am 1. April 2004 aktiviert. Vorher werden daher keine Spuren von Aktivität festzustellen sein. Der Wurm wird an diesem Tag, wenn eine der befallenen Dateien abgespielt wird, über lokale Sicherheitslücken versuchen, seinen Schadenscode auszuführen. Dieser öffnet zunächst den Port 10404, wozu keine Root-Rechte nötig sind. Dort lauscht er auf Kommandos von außen und scheint auch sein Vorhandensein zu signalisieren. Die Kommandos könnten eventuell darin bestehen, Spam zu versenden oder eine DDoS-Attacke zu starten.
Es ist derzeit keine Möglichkeit bekannt, den Virus loszuwerden, außer die Dateien zu löschen. Zusätzlich sollte man die Tauschbörsen-Software deinstallieren und die neuesten Versionen aus zuverlässiger Quelle installieren, sinnvollerweise aber erst nach dem 1. April.
penguintux Gast |
???
