Hopp til navigasjon Hopp til innhold

Linux-virus stadig farligere

Linux-ormen «Lion» inntar stadig nye former, og vurderes nå som en stadig farligere trussel. Men foreløpig er det ingenting som tyder på at norske IT-ressurser er berørt.

Linux lion virus
«Lion» ble første gang oppdaget i februar i år, og er en orm som angriper Linux-servere med BIND-programvare. Den første utgaven var nokså primitiv. Den stjal passordet til serven og sendte det videre i kryptert form til et nettsted i Kina. Herfra kunne hackere med onde hensikter og riktig krypteringsnøkkel hente passordene, for deretter å logge seg inn på de infiserte serverne og gjøre ugagn.

Tre versjoner

Nå finnes det intet mindre enn tre utgaver ute – alle betydelig farligere enn originalen, i følge Linux-ekspertisen. En av dem setter opp en HTTP server på port 27374 med hilsener fra ei gruppe som kaller seg «The Lion Crew».

Alle de tre versjonene beskrives som svært enkle å sende ut. Hver pakke inneholder en skanner som genererer tilfeldige klasse B-adresser som søker etter en åpning gjennom port 53.

Kamuflasje

Deretter sjekker den programvareversjonen: Dersom den finner et hull, kjører den en BIND 8 transaksjonsrutine, før den installerer et kamuflasje- og tilbakemeldingsprogram – et såkalt «rootkit».

Alle vellykkede installasjoner blir registrert i en logg over IP-adresser. Denne loggen sendes videre pr. e-post til avsenderen hver 12. time.

Opplysningene gir hackeren full kontroll over serveren. Hun eller han kan både manipulere eller slette filer, opprette nye brukerprofiler og endre sikkerhetsinnstillinger.

Alt sammen uten at administratoren merker det.

Norman avventer

Virusanalytiker Snorre Fagerland hos sikkerhetsselskapet Norman sier til Itavisen.no at ormen så langt ikke blir ansett for å være særlig farlig. Derfor har Norman valgt å ikke legge ut advarsel mot viruset på sitt nettsted.

– Men når det er sagt, har vi hittil fokusert mest på Windows-verdenen. Samtidig ser vi at Linux vinner fram mange steder. Vi er nå inne i en ansettelsesfase der folk med UNIX-kompetanse vil være aktuelle, sier Fagerland.

Ingen norske rammet

Når det gjelder «Lion», har ikke Fagerland fått noen rapporter som tyder på at ormen har infisert norske servere.

– Heller ikke rapportene fra utlandet er spesielt alarmerende så langt. Men det interessante med denne ormen er jo at den inneholder en programpakke som gjør det mulig å gjemme seg. Den utnytter hull i operativsystemet, men disse hullene er godt tettet med nye oppgraderinger. Brukere som har vært flinke til å holde seg oppdatert vil ikke løpe noen risiko.

Et steg foran

Fagerland påpeker likevel at de som skriver ondsinnet programvare ofte ligger et steg foran de som prøver å tette hull.

– Etter at en slik form først har kommet ut, finnes det folk som stadig skriver nye varianter på grunnlag av den første versjonen. Derfor er det viktig å være på vakt.

Tekniske detaljer om «Lion» finner du på nettstedet til SANS.