Adore: Wurm spioniert Linux-Systeme aus

Erneut grassiert im Internet ein Linux-Wurm, der sich die Verwundbarkeit schlecht gewarteter Systeme zunutze macht. Über sattsam bekannte Sicherheitslücken installiert Adore eine Backdoor und verschickt umfassende Systeminformationen an seinen bislang unbekannten Autor.

Adore - aka Red Worm - ähnelt in der Vorgehensweise seinen Vorgängern Ramen und Lion. Der Wurm scannt Linux-Server nach den bekannten Sicherheitslücken in LPRng, rpc-statd, wu-ftpd und BIND. Wird er fündig, dringt er ein und ersetzt das ps-Binary durch einen Trojaner. Das Original kopiert er dabei nach /usr/bin/adore.

Anschließend verschickt Adore eine Mail an diverse Adressen auf den chinesischen Servern sina.com und 21cn.com. Auf diesem Weg übermittelt es den Inhalt der Dateien /etc/ftpusers, /etc/hosts, /etc/shadow und /root/.bash_history sowie per ifconfig und ps -aux generierte Netzwerk- und Prozessinformationen über die befallene Maschine.

Zusätzlich öffnet der Wurm eine Rootshell, die dem Angreifer eine direkte Verbindung zum infizierten Rechner erlaubt. Um sich zu tarnen, richtet Adore einen cron-Job ein, der täglich um 4.02 Uhr lokaler Zeit alle Spuren aus den Logs tilgt und anschließend den Rechner neu startet. Die Backdoor selbst verbleibt dabei aber an ihrem Platz.

Zur Erkennung von Adore existiert bereits ein Skript, das am Institute for Security Technology Studies des Dartmouth College entwickelt wurde. Es identifiziert und stoppt die von Adore genutzten Jobs und entfernt anschließend die zum Wurm gehörigen Dateien. (jlu)