Unix- und Linux-Viren: die unbekannte Bedrohung im Netz

Nicht alle Versionen dieser Plattformen waren bereits betroffen – hier die bereits von Viren angegriffenen Linux-/Unix-Plattformen:

• Suse Linux
• Mandrake Linux
• Red Hat Linux
• Debian GNU Linux
• Slackware Linux
• Free BSD
• HP/UX
• IBM AIX
• SCO Unixware
• SCO OpenServer
• Sun Solaris
• Sun OS

Je mehr Linux-/Unix-Systeme ein Unternehmen in seine LAN- und WAN-Netzwerke integriert, desto größer ist die Angriffsfläche für die sich schnell verbreitenden Unix-Viren. Linux- und Unix-Systeme mit WINE sind dabei besonders anfällig. WINE ist eine Open-Source-Software, die Windows-Anwendungen unter Unix ausführbar macht. Systeme mit WINE sind stark gefährdet, da sie von Viren, Würmern und Trojanern sowohl auf Unix- als auch auf Windows-Basis angegriffen werden können.

Wie sieht die Bedrohung aus?

Wie zu erwarten, funktionieren Linux-/Unix-Viren anders als Viren für Windows-Betriebssysteme. Dennoch arbeiten die Viren, Würmer und Trojaner unter Unix nach dem gleichen Prinzip wie die Codestrukturen, die bei Windows zuschlagen.

Dabei muss man bedenken, dass ein Virus nichts anderes als ein Programm ist, das ohne Erlaubnis des Anwenders andere Programme infiziert oder zerstört. Ein Wurm ist hingegen ein sich selbst replizierender Teilcode, der ohne Erlaubnis des Anwenders aktiv wird. Auch Programmfehler können ohne Erlaubnis einen selbst replizierenden Code erzeugen, allerdings geschieht dies im Gegensatz zum Virus unbeabsichtigt. Trojaner verbergen ihre Absichten, um elektronische Schäden hervorzurufen. Unter Unix kann ein Trojaner den Namen eines regulären Programms (zum Beispiel tar oder df) annehmen, bei seiner Ausführung wird dann jedoch ein ganzes Dateisystem gelöscht.

Funktionsweise der Viren und Würmer

Zur Verdeutlichung des potenziellen Zerstörungsausmaßes eines Virus, Wurms oder Trojaners unter Unix werden im Folgenden einige Szenarien zu deren Funktionsweisen aufgezeigt. Natürlich hat jeder Virus, Wurm oder Trojaner seine individuellen Eigenarten und Verhaltenweisen, doch sollen die folgenden Beispiele aufzeigen, wie sie sich tendenziell unter Linux/Unix verhalten.

Erstes Beispiel ist der Linux-Slapper-Wurm, der den Apache-Server befällt. Zuerst scannt er den HTTP Port 80 mittels einer ungültigen GET-Anfrage, um die verwendete Apache-Version zu ermitteln, so dass er sich an das entsprechende Zielsystem anpassen kann. Bei den so entdeckten verwundbaren Systemen stellt der Wurm eine Verbindung über Port 443 her, um sich mithilfe der Pufferüberlauf-Schwachstelle in dem Zielsystem einzunisten.

Anschließend kompiliert der Wurm seinen eigenen Quellcode mittels eines lokalen Compilers wie gcc. Die so entstehende Binärdatei wird vom /tmp-Verzeichnis ausgeführt und fragt einen UDP-Port ab, um weitere Befehle für den Start verteilter Denial-of-Service (DDoS)-Angriffe zu erhalten. DDoS-Angriffe erzeugen TCP-Floods, die das System lahm legen können. Einige Varianten von Slapper können ein ganzes Netzwerk der Klasse B nach Schwachstellen der Apache-Server scannen.

Ein anderer Wurm, der Linux-Lion-Wurm, scannt über Port 53 wahllos Klasse-B-Netzwerke nach angreifbaren Versionen des BIND, dem meistgenutzten DNS-Server unter Linus/Unix. Wenn ein Kandidat für eine Infektion gefunden ist, werden Log-Dateien gelöscht und verschiedene Trojaner-Dateien installiert, um die Existenz des Wurms zu verbergen. Lion erstellt unter anderem folgende Trojaner-Dateien:

/bin/in.telnetd
/bin/mjy
/bin/ps
/bin/netstat
/bin/ls
/etc/inetd.conf
/sbin/ifconfig
/usr/bin/find
/usr/sbin/nscd
/usr/sbin/in.fingerd
/usr/bin/top
/usr/bin/du

Diese Dateien sehen auf den ersten Blick wie normale Unix-Dateien und Utilities aus, so dass zunächst keinerlei Verdacht aufkommt – daher auch die Bezeichnung Trojaner.

Um seine Spuren zu verwischen, kann Lion in Linux folgende Dateien löschen:

/.bash_history
/etc/hosts.deny
/root/.bash_history
/var/log/messages
/var/log/maillog

Bei befallenen Systemen leitet Lion Passwortdateien an entfernte Computer weiter beziehungsweise starten andere Varianten des Wurms Passwort-Sniffer zur Ermittlung der Kennwörter aus aktiven Verbindungen. Hacker können dann über den entfernten Rechner auf das System zugreifen, um DDoS-Angriffe zu starten, Kreditkartennummern zu stehlen oder sonstige vertrauliche Daten und Aufzeichnungen zu entwenden oder zu löschen.