Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Ramen, Lion, Winux


13.04.2001 - 

Erste Linux-Würmer und -Viren sind im Umlauf

MÜNCHEN (CW) - Viren sind keine Plage mehr, die nur Windows-Anwender trifft. Die ersten Versionen infektiösen Codes für Linux-Systeme sind aufgetaucht.

Open-Source-Freunde könnten sich auf zynische Weise bestätigt sehen. Anscheinend ist Linux verbreitet genug, um jene "kritische Masse" zu haben, ab der ein Betriebssystem für Virenprogrammierer ein attraktives Ziel wird. Gab es zunächst nur Viren für "Amiga"-Computer, waren jahrelang Windows-PCs das Ziel. Jetzt kommt der Schritt zu Linux.

Eintritt in die Post-Windows-ÄraAn der Übergangsschwelle in ein neues Virenzeitalter steht ein Virus, dem seine Entdecker, der Hersteller von Antivirensoftware Central Command, einen treffenden Namen gaben: "W32.Winux". Damit ist zum Ausdruck gebracht, dass er 32-Bit-Windows-Versionen (95, 98, NT und 2000) ebenso befallen kann wie verschiedene Linux-Versionen. Infiziert werden dabei ausführbare Programme ("executables"), und zwar PE-Files in Microsoft-Systemen und ELF-Files in Linux. Winux wird aktiv, wenn man ein infiziertes Programm startet, etwa durch Öffnen eines E-Mail-Anhangs. Sein Code hängt sich dann an sämtliche ausführbaren PE- und ELF-Programme an, die mindestens 100 KB Größe haben. Mehr geschieht nicht; der Virus unternimmt weder weitere Operationen mit Daten auf der Festplatte, noch verschickt er sich per E-Mail weiter. Ihm fehlen der Killerbefehl und ein Verbreitungsmechanismus.

Obwohl das recht primitiv und ungefährlich anmutet, sind Virenexperten sehr beunruhigt. Bei der jetzigen Version handle es sich um einen "konzeptionellen Versuch", nimmt David Miller, ein Techniker vom Virenspezialisten Command Software, an. "Winux könnte andere Virenschreiber auf Ideen bringen", warnt Andre Post, ein führender Virenforscher bei Symantec. Der Virus ist allein deswegen schon interessant, weil er sein Aggressionspotenzial auf die in professionellen IT-Umgebungen häufige Verbindung von Windows- und Linux-Systemen richten kann.

Winux ist wie ein Warnschuss lanciert worden. Er tauchte zum ersten Mal in einer anonymen Mail auf, die Central Command aus der Tschechei erhielt. Als Autor gibt sich in der Mail ein "Benny" aus, der sich als Mitglied der Gruppe "29A" bezeichnet. Dieser Kreis von Virenschreibern ist 1999 mit der Verbreitung des "Millennium"-Virus bekannt geworden und hat im September 2000 mit "Stream" einen maliziösen Code verbreitet, der ein Meister im Versteckspielen ist.

Virenspezialist Miller erklärte, derzeit gebe es noch weniger als zehn Linux-Viren, andere sprechen von bis zu 50. Doch die Zeiten, in denen sich aller Mitleid und Spott auf Windows-Anwender richtete, gehen dem Ende entgegen. Wenige Tage vor Winux war ein Wurm namens "Lion" bekannt geworden, der in erster Linie Server mit der DNS-Software "Bind" (Berkeley Internet Name Domain) befällt. Dieser Wurm ist außerordentlich aggressiv und verbreitet sich sehr schnell.

Lion, eine Abart der für bestimmte Red-Hat-Systeme (ohne die vorhandenen Patches) gefährlichen Infektion "Ramen", versteckt sich in einem "root kit". Dann sucht er nach Administrator-Passwörtern und schickt sie per E-Mail an eine China.com-Adresse. Außerdem scheint Lion "back doors" einzurichten. Sicherheitsexperten gehen davon aus, dass Hacker versuchen, die betroffenen Systeme zu kontrollieren und für sich zu nutzen. Der Wurm soll durch recht einfache Veränderungen auch gegen Unix-Systeme zu wenden sein.

Die Wirkung von Lion ist fatal. Nach Aussage von Alan Paller, Direktor des Instituts System Administration, Networking and Security (Sans), müssen Opfer "alles von ihrer Festplatte löschen und das gesamte Betriebssystem neu installieren, es sei denn, sie sind brillant". Das Institut hat ein Programm "Lionfind" zur Verfügung gestellt, mit dem man prüfen kann, ob ein System infiziert ist. Auf der Website www.sans.org gibt es auch ausführliche Informationen, wie man sich gegen den Wurm schützen kann.