---

Geschrieben von Pommes2 am 04.04.2004 um 22:58:

  Linux-Virus Lirpa verbreitet sich rasch

Der Virus Lipra, der offenbar ausschließlich auf Linux-Rechner zielt, verbeitet sich rasch über die bekanntesten Tauschbörsen.

Wie das Sicherheitslabor der japanischen Ryukoku-Universität in einem Memo mitteilt, wurde der Virus Lipra vor einigen Tagen zum ersten Mal gesichtet. Er heftet sich an Medien-Dateien in Tauschbörsen (EDonkey, Kazaa, BitTorrent usw.) an und wird mit diesen rasant verbreitet. Nachdem knapp über 40 Viren für Linux bekannt sind, von denen keiner je »in der freien Wildbahn« anzutreffen war, ist Lipra offenbar der erste gefährliche Linux-Virus.

Die Schadensroutine von Lirpa ist noch nicht vollständig analysiert. Es steht jedoch zu vermuten, daß sich der Virus am 12. April 2004 aktiviert. Vorher werden daher keine Spuren von Aktivität festzustellen sein. Der Wurm wird an diesem Tag, wenn eine der befallenen Dateien abgespielt wird, über lokale Sicherheitslücken versuchen, seinen Schadenscode auszuführen. Dieser öffnet zunächst den Port 6449, wozu keine Root-Rechte nötig sind. Dort lauscht er auf Kommandos von außen und scheint auch sein Vorhandensein zu signalisieren. Die Kommandos könnten eventuell darin bestehen, Spam zu versenden oder eine DDoS-Attacke zu starten.

Das Labor hat ein Skript bereitgestellt, das infizierte Dateien erkennen kann. Da der Download-Server sehr unzuverlässig zu sein scheint, haben wir das Skript auf den Pro-Linux-Server kopiert. Unseren Tests zufolge arbeitet das Skript mit Virus-Pattern. Auf unserem Testsystem wurde keine infizierte Datei gefunden, genau wie es bei einem »sauberen« System zu erwarten war.

Es ist derzeit keine Möglichkeit bekannt, den Virus loszuwerden, außer die Dateien zu löschen. Zusätzlich sollte man die Tauschbörsen-Software deinstallieren und die neuesten Versionen aus zuverlässiger Quelle installieren, sinnvollerweise aber erst nach dem 12. April. (Achtung! Aprilscherz!)