Das SANS-Institut warnt vor einem neuen Wurm, der sich unter Linux verbreitet und das System für Dritte öffnet. Der Schädling, der auf den Namen "Lion" getaufte wurde, nutzt die vor knapp zwei Monaten gemeldete Sicherheitslücke in BIND aus, um sich auf den Systemen zu installieren. Backdoors werden installiert Nach der Infizierung eines Rechners mit "Lion", versendet der Wurm das verschlüsselte Root-Passwort ins Internet. Der Angreifer kann die anschließende Entschlüsselung relativ einfach durchführen. Außerdem installiert der Schädling Backdoors, um so den direkten Zugriff durch den Angreifer auf den betroffenen Rechner zu ermöglichen. Der neue Wurm ist schwer zu entdecken, da sich Lion tarnt, indem er ein so genanntes Rootkit installiert, dass Protokoll- und Systemdateien austauscht. "Wir glauben nicht, dass er entfernt werden kann" Nach Angaben des SANS-Instituts ist der Wurm extrem schwierig zu entfernen: "Wir denken, solange Anwender nicht brilliant sind, müssen sie die Festplatte(n) löschen und ihr System neu installieren, um den Wurm wieder loszuwerden" sagte Alan Paller, Chef der Forschung bei SANS gegenüber CNet. "Wir glauben nicht, dass er entfernt werden kann". Ramen lässt grüßen Bis jetzt liegt die Vermutung nahe, dass es sich bei dem neuen Wurm um eine Abart des im Jänner aufgetauchten Linux-Wurms Ramen handelt. Betroffen sind momentan nur Linux-Systeme, allerdings meinen Experten, dass der Schädling schnell auch auf andere Unix-Derivate wie Solaris oder AIX portiert werden könnte. Das SANS-Institut stellt ein Utility bereit, dass von William Stearns entwickelt wurde, mit dem sich überprüfen lassen soll, ob ein System durch den Wurm befallen wurde. Allerdings dient dieses Programm nur dem Aufspüren des Wurms, entfernt werden kann der Schädling damit nicht. (red)