Diskussionen um Linux-Reparatur-Wurm
Schon seit einigen Tagen geistert der Linux-Wurm "Cheese" durchs Netz. Anders als die meisten seiner Artgenossen richtet er aber keinen Schaden an, sondern "repariert" vom Schädling "Lion" befallene Rechner. Trotz seines offensichtlichen Nutzens ist der Antiwurm-Wurm jedoch umstritten.
Den Autor von "Cheese" scheint "Lion" derart genervt zu haben, dass er sich ein automatisches Gegenmittel einfallen ließ. Bei der ersten Ausführung scannt "Cheese" zunächst die /etc/inetd.conf und sichert den Rechner gegen Rootshell-Zugriff von außen.
Anschließend durchsucht der Wurm das Netzwerk nach Maschinen, auf denen Port 10008 offen steht - also solchen Rechnern, die mutmaßlich ebenfalls von Lion befallen wurden. Dorthin kopiert er sich und säubert diese Maschinen ebenfalls.
Der bösartige Wurm "Lion" treibt bereits seit Mai sein Unwesen. Über den BIND-Exploit befällt er Linux-Rechner, richtet dort eine Backdoor ein und verschickt zudem /etc/passwd und /etc/shadow an eine E-Mail-Adresse in China.
LionScans
Für die völlig lauteren Absichten des bislang unbekannten "Cheese"-Autoren spricht nicht nur die nützliche Wirkung des Wurms.
Im "Cheese"-Code finden sich auch entsprechende Kommentare wie: "This code was not written with malicious intent" oder "Cheese was created to stop pesky haqz0rs messing up your box even worse than it is already".
Trotz bester Absichten fiel der Wurm allerdings durch die zahlreichen Portscans, mit denen es nach anderen infizierten Rechnern sucht, recht unangenehm auf.
Diskussion um Linux-VirenKritik
Auch vom Funktionsprinzip her stößt der Patch-Wurm nicht auf ungeteilte Gegenliebe. "Cheese" sei zwar ein netter Ansatz, jedoch keine wirkliche Lösung, kommentiert etwa Kevin Houle vom CERT/CC der Carnegie-Mellon-Universität.
"Grundsätzlich macht der Wurm dasselbe, wie jeder Angreifer: Er verändert ohne Autorisierung das System und benutzt es zu Angriffen auf andere Rechner".
Ähnlich sieht das auch Antiviren-Hersteller Symantec : "Cheese" sei zwar nicht direkt als schädlich zu betrachten. Allerdings handle es sich um einen völlig fehlgeleiteten Ansatz, um mit Sicherheitsproblemen fertig zu werden.
Folgerichtig liefert das Unternehmen für seinen Virenscanner auch ein Update aus, das den "Schädling" identifiziert und entfernt.