Lion worm: a Ramen különösen veszélyes utódja

A hálózati biztonsággal foglalkozó SANS Institute figyelmeztetést tett közzé, amelyben egy Ramen-utód, a Lion worm veszélyességéről számolnak be. A féreg a BIND 8.2, 8.2-P1, 8.2.1, 8.2.2-Px, és 8.2.3 bétákat használó rendszereket fertőzi meg. A B osztályú hálózatokon az 53-as TCP portot vizsgáló "randb" programon keresztül terjed. Ha már fölkerült a rendszerre, elég csúnyán elbánik vele, többek közt az /etc/passwd, az /etc/shadow fájlokat és néhány hálózati beállítást elküld egy china.com domainen lévő címre; törli az /etc/hosts.deny fájlt; rendszergazdai shelleket engedélyez a 60008/tcp és 33567/tcp portokon; lelövi a syslogd-t, így a logban sem lehet majd megbízni; a login-ból és az ssh-ból trójai verziót telepít...

A SANS Institute-nál máris összeállítottak programot, amely a Lion fájljait képes megtalálni, de a lepucolást egyelőre nem végzi el. http://www.sans.org/y2k/lionfind-0.1.tar.gz További információ a SANS oldalain.