Linux-Wurm Lupper mutiert

10. März 2006, 17:23
2 Postings

Antivirenhersteller vermelden den Schädling gleich unter mehreren Bezeichnungen

Als Linux.Plupii.C, Linux/Lupper.worm.b, Linux/Lupper-I oder auch als Net-Worm.Linux.Mare.d kursieren seit einigen Tagen mutierte Versionen des Linux-Wurms Lupper im Internet.

Unterschiedliche Lücken

Die erste Generation der Lupper-Würmer nutzte Schwachstellen in AWStats und Webhint sowie die, mittlerweile längst geschlossene, XMLRPC-Lücke für ihre Angriffe. Die XMLRPC-Lücke fand sich etwa in Wordpress, TikiWiki, phpGroupware und Drupal. Die neuen Varianten unterscheiden sich durch die Benennung der nachgeladenen Schadprogramme sowie des installierten Trojaners. Die neuen mutierten Varianten versuchen zusätzlich, über eine Lücke im freien Content-Management-System Mambo in Webserver einzudringen. Werden die Würmer dort gestartet, wird mit dem Nachladen und Starten von weiteren Schadprogrammen begonnen. Ein integrierter Trojaner verbindet sich mit einem IRC-Server und wartet dort auf weitere Befehle, so ist zum Beispiel ein Denial-Of-Service-Angriff gegen andere Rechner möglich.

Auffällig

Befallene Rechner und Linux-Server sind an verdächtigen, ausführbaren Dateien im /tmp-Verzeichnis und gleichnamigen laufenden Prozessen erkennbar. Laut Antivirenexperten sind mögliche Namen unter anderem gicumz, httpd, https, cb und ping.txt. AnwenderInnen von Mambo wird dringend geraten ihr System auf den aktuellen Stand zu bringen.(red)

Share if you care.