Hopp til navigasjon Hopp til innhold

Farlig UNIX-virus oppdaget

Trodde du at Linux og andre Unix-varianter var tryggere enn NT? Da må du tro om igjen. «Lion»-viruset kan stjele passrod til maskiner med både Red Hat, Solaris, AIX and HPIX.

Ormen «Lion» stjeler passord i Linux og sprer seg fort via Internett. Alle Unix-baserte servere og klienter er i utgangspunktet i fare. Men mest utsatt er servere som kjører BIND (Berkeley Internet Name Domain)- programvare.

Slett alt og kryss fingrene

– Vi tror at ormen kommer til å få folk, dersom de ikke er geniale med Unix, til å slette alt på harddisken og slette hele operativsystemet og krysse fingrene for at backup’en vil fungere etterpå, sier direktør Alan paller ved SANS-instituttet i USA til news.com.

Fem tilfeller

SANS-instituttet hevder at de så langt har oppdaget fem tilfeller av infiserte servere. Fire eies av private selskaper, og en står på et universitet i USA.

Linux-maskiner som blir rammet av ormen sender et kryptert administrasjonspassord (root) til nettstedet China.com. Fra dette nettstedet kan hackere dekryptere passordet og bruke det til å få tilgang til de fleste områder på serveren passordet stammer fra.

Ormen er en variant av Ramen, som ble oppdaget i Januar, og som bare infiserer Linux-varianten Red Hat.

Ubegrenset tilgang

– Dersom en hackere får tilgang gjennom en av disse bakdørene, kan de få ubegrenset tilgang til den aktuelle maskinen. De kan slette og installere programvare, få tak i sensitiv informasjon og endre brukerprofiler, sier sikkerhetsdirektør John Green ved SANS-instituttet.

På tross av at viruset anses som svært skummelt, er det ingen som har rapportert om skader ennå.

Vanskelig å oppdage

Det er imidlertid ikke lett å oppdage viruset når det først er lagt på maskinen. Det installerer et såkalt «root kit», som effektivt skjuler både viruset selv og eventuell andre hacker-verktøy som blir lagt inn.

SANS-direktør Paller hevder at viruset, som i utgangspunktet er skrevet for Red Hat, med letthet kan infisere både Solaris, AIX and HPIX-systemer.

– Å oversette denne ormen slik at det infiserer andre versjoner av Unix er helt trivielt. Det er ingen grunn til å føle seg trygg dersom man kjører Solaris eller andre Unix-varianter, sier han.

Motgift

Det finnes imidlertid motgift. To programmer er allerede skrevet for å få bukt med ormen. Lionfind er et program som hjelper systemadministratorer å finne Lion-ormen. Og Internet Software Consortium har en god stund hatt beskyttelse mot ormer av denne typen klare for nedlasting.