Cheese: Reparatur-Wurm sorgt für Diskussionen

Schon seit einigen Tagen geistert der Linux-Wurm Cheese durchs Netz. Anders als die meisten seiner Artgenossen richtet er keinen Schaden an, sondern "repariert" vom Schädling Lion befallene Rechner. Trotz seines offensichtlichen Nutzens ist der Antiwurm-Wurm jedoch umstritten.

Der bösartige Wurm Lion treibt bereits seit Mai sein Unwesen. Über den BIND-Exploit befällt er Linux-Rechner, richtet dort eine Backdoor ein und verschickt zudem /etc/passwd und /etc/shadow an eine E-Mail-Adresse in China. Den Autor von Cheese scheint Lion derart genervt zu haben, dass er sich ein automatisches Gegenmittel einfallen ließ. Bei der ersten Ausführung scannt Cheese zunächst die /etc/inetd.conf und sichert den Rechner gegen Rootshell-Zugriff von außen. Anschließend durchsucht der Wurm das Netzwerk nach Maschinen, auf denen Port 10008 offen steht - also solchen Rechnern, die mutmaßlich ebenfalls von Lion befallen wurden. Dorthin kopiert er sich und säubert diese Maschinen ebenfalls.

Für die völlig lauteren Absichten des bislang unbekannten Cheese-Autoren spricht nicht nur die nützliche Wirkung des Wurms. Im Cheese-Code finden sich auch entsprechende Kommentare wie: "This code was not written with malicious intent" oder "Cheese was created to stop pesky haqz0rs messing up your box even worse than it is already". Trotz bester Absichten fiel der Wurm allerdings durch die zahlreichen Portscans, mit denen es nach anderen infizierten Rechnern sucht, recht unangenehm auf.

Auch vom Funktionsprinzip her stößt der Patch-Wurm nicht auf ungeteilte Gegenliebe. Cheese sei zwar ein netter Ansatz, jedoch keine wirkliche Lösung, kommentiert etwa Kevin Houle vom CERT/CC der Carnegie-Mellon-Universität. "Grundsätzlich macht der Wurm dasselbe, wie jeder Angreifer: Er verändert ohne Autorisierung das System und benutzt es zu Angriffen auf andere Rechner". Ähnlich sieht das auch Antiviren-Hersteller Symantec: Cheese sei zwar nicht direkt als schädlich zu betrachten. Allerdings handle es sich um einen völlig fehlgeleiteten Ansatz, um mit Sicherheitsproblemen fertig zu werden. Folgerichtig liefert das Unternehmen für seinen Virenscanner auch ein Update aus, das den "Schädling" identifiziert und entfernt.

Die Idee nützlicher ("beneficial") Viren oder Würmer ist als solche nicht neu. Schon seit Ende der 80er-Jahre taucht sie gerade in der einschlägigen Forschung immer wieder auf. Als mögliche Anwendungsgebiete kämen beispielsweise Datenkompression (Files automatisch packen und zur Laufzeit entpacken), Rechnerwartung (etwa das Löschen temporärer Dateien) oder auch der Antiviren-Einsatz in Frage. Ein ausführliches Papier zu diesem Thema hat etwa Vesselin Bontchev vom Virus Test Center der Universität Hamburg veröffentlicht.

Ausführliche Informationen zur Bedrohung von Linux-Rechnern durch Schadprogramme aller Art liefert unser Report Viren unter Linux. (jl)