Hopp til navigasjon Hopp til innhold

Rød orm herjer i Linux-land

Adore – som også blir kalt «Rød Orm» – lager bakdører i Linux-systemer og sender informasjon til Kina. Lyder det kjent?

Rød Linux-orm
Dette er nok en variant av Ramen-ormen – alle Linux-ormers mor. Ramen startet som en ganske enkel greie, som installerte seg på systemet sammen med programvare som skjulte den eksistens. Deretter registrerte den hovedpassord og sendte opplysningene pr. e-post til en ekstern server.

Ramen fikk arvtakeren «Lion», som var litt smartere. Den krypterte informasjonen og sendte den til en webside i Kina, slik at informerte hackere kunne plukke den opp. Ved hjelp av opplysningene fikk hackere full tilgang til alle deler av det infiserte systemet.

Rotfylling

Hullene som Ramen og Lion brukte ble raskt tettet, og skadene ble begrenset. I Norge foreligger det ikke ett eneste dokumentert tilfelle om skader.

Begge ormene infiserte bare Red Hat-installasjoner via BIND og DNS.

Men hackere med onde hensikter var åpenbart ikke fornøyd. Etter få uker dukket det opp flere mutasjoner, og den nye røde ormen ser ut til å være en av disse.

Mens tidligere utgaver utnyttet en enkelt feil, bruker Adore fire kjente feil i Red Hat for å komme seg inn. Dersom man har tettet ett eller flere hull, er sannsynligheten likevel stor for angrep.-

Selv om det har eksistert plasterlapper (patches) for alle for alle disse fire feilene så tidlig som i august i fjor, har de færreste installert dem, kan Matt Fearnow ved SANS (Systems Administration Networking and Security Institute) fortelle Zdnet.

Adore-ormen bruker en applikasjon som kalles PS – et verktøy som administratorer bruker for å sjekke hvilke programmer som til enhver tid kjører på systemet. Viruset erstatter denne med en lignende applikasjon. Denne inneholder en liste som tilsynelatende ser normal ut, men som mangler Adore.

Sender avgårde

Deretter sender de viktigste systemfilene til fire epostadresser – to i USA og to i Kina. Hvert av brevene inneholder brukernvnene adore9000 og adore9001 – derav navnet.

Når den har gjort sitt, venter ormen til 4:02 om morgenen, før den sletter alle filer den har opprettet på systemet, minus bakdøra som fortsetter å skanne systemet og sende ut informasjon.

SANS har lagt ut programmet Adorefind, som skal gjøre jobben med å avsløre inntrengeren.

Ormen ser ut til å spre seg raskere enn tidligere varianter av arten. Flere nettverksadministratorerer har uttrykt bekymring via nyhetsgrupper og epostlister på nettet.