PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : wurm: devnull



feuerwand
07.10.02, 14:08
devnull: Slapper-Klone infiziert Linux-Webserver

10:46:30

(tecCHANNEL.de, 07.10.2002) Wie sein Vorgänger Slapper nutzt der Devnull-Wurm eine Schwachstelle im mod_SSL-Modul von Apache zur Ausbreitung. Nach Angabe des Antiviren-Herstellers Kaspersky wurden seit Freitag schon mehr als 1600 Systeme von dem neuen Schädling befallen.

externer LinkSlapper scheint in einschlägigen Kreisen die Methode der Verbreitung als Sourcecode populär gemacht zu haben: Nicht nur bislang drei Slapper-Varianten, sondern auch Devnull treffen in Quelldatei-Form ein.
Click here to find out more!

Nach Angabe des AV-Herstellers externer LinkSophos setzt sich der neue Wurm aus vier Dateien zusammen. Drei davon - shell.sh, sslx.c und devnull - nutzt er zur Infektion. Beim vierten File, k, handelt es sich um einen InfoTrojaner, der sich zu Denial-of-Service-Attacken und Datendiebstahl nutzen lässt.

Die Backdoor-Komponente basiert auf dem verbreiteten InfoIRC-Trojaner "Age of Kaiten". Sie stellt laut externer LinkTrend Micro eine Verbindung zum Channel #devnull auf dem Server irc.zyclonicz.net her. Anschließend wartet sie auf Anweisungen.

Um Angriffe von Slapper, Devnull und Konsorten ins Leere laufen zu lassen, sollten Sie auf Produktivservern grundsätzlich keine C-Compiler einrichten. Ist aus irgendeinem Grund die Installation des gcc erforderlich, beschränken Sie den Zugriff tunlichst auf ausgewählte User. Slapper und Devnull nutzen typischerweise den Benutzer nobody. (jlu)


quelle: http://www.tecchannel.de/news/20021007/thema20021007-8863.html

bernie
07.10.02, 14:32
der erste OpenSource-Wurm? ;)

Ciao, Bernie

feuerwand
07.10.02, 14:45
Dem Anschein nach schon, nur frage ich mich, ob es nicht etwas unklug ist, die genau Funktionsweiße des Wurms offen zulegen. Schließlich haben es AV-Software-Hersteller somit nur leichter, seine Verbreitung zu stoppen.

RapidMax
08.10.02, 02:34
Viren unter der GPL gabs schon früher.
Und ob der Wurm im Quelltext vorliegt oder nicht, die AV-Software sucht sowieso nach Signaturen, da bringt der Sourcecode nicht viel.

Gruss, Andy

Malekith
08.10.02, 02:45
Na wenigstens etwas, OpenSource Würmchen, da lässt er sich leichter auf Win-Systeme portieren :D

Na, Spaß bei Seite.

Ich glaube da wollte wer auf eine Sicherheitslücke aufmerksam machen und per Source zeigen wie. Löblich löblich...

RapidMax
08.10.02, 02:55
Na so löblich is es dann doch nicht. Auch wenn viele zuerst auf die Schnauze fliegen müssen, bis sie merken, dass sie was ändern sollten, ist das Aussetzen von Viren/Würmer doch ein destruktiver Akt. Und meist ist die Gefahr dann doch nach einem halben Jahr vergessen...

Gruss, Andy