Seit Ende vergangener Woche kursieren neue Varianten des Linux-Wurms Lupper im Internet. Im Bezeichnungswirrwarr der Antivirenhersteller tauchen sie unter diversen Namen auf: Plupii.C, Lupper.worm.b, Lupper-I oder auch Mare.d. Die neuen Varianten unterscheiden sich in erster Linie durch die Benennung der nachgeladenen Schadprogramme sowie des installierten Trojaner-Typs.

Die erste Lupper-Generation nutzte die längst behobene XMLRPC-Lücke beispielsweise in Wordpress, TikiWiki, phpGroupware und Drupal sowie Schwachstellen in AWStats und Webhint aus. Die neuen Lupper-Varianten versuchen zusätzlich, über eine Lücke im freien Content-Management-System Mambo in Webserver einzudringen. Einmal dort zur Ausführung gelangt, beginnen sie mit dem Nachladen und Starten von weiteren Schadprogrammen, darunter auch der erwähnte Trojaner. Dieser verbindet sich mit einem IRC-Server und wartet dort auf weitere Befehle, beispielsweise für Denial-Of-Service-Angriffe gegen andere Rechner. Befallene Rechner werden dadurch Teil eines Bot-Netzes.

Betroffene Linux-Server sind in der Regel an verdächtigen, ausführbaren Dateien im /tmp-Verzeichnis und gleichnamigen laufenden Prozessen erkennbar. Mögliche Namen sind unter anderem gicumz, httpd, https, cb und ping.txt. Ebenfalls auffällig sind ein offener UDP-Port 27015 sowie ausgehende IRC-Verbindungen nach Port 6667, die sich mit dem Befehl "netstat -an --inet" auflisten lassen. Die der Redaktion vorliegende Lupper-Variante ist darüber hinaus mit dem Virus RST.b infiziert. Dieser verhindert unter Umständen eine ordnungsgemäße Ausführung des Wurms unter aktuellen Linux-Kerneln der Serie 2.6.

Wer noch immer eine verwundbare Mambo-Installation betreibt, sollte umgehend eine aktuelle Version installieren und seinen Server auf mögliche Einbruchspuren untersuchen. Zumindest die nachgeladenen IRC-Trojaner werden in der Regel von allen gängigen Antivirenprogrammen erkannt.

QUELLE