[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[linux] RE: Virus Linux très méchant? Lion wor m



http://vil.mcafee.com/dispVirus.asp?virus_k=99056&;

Virus Profile  <<...OLE_Obj...>> Linux/Lion.worm is a Low risk Internet Worm
McAfee.com Clinic Members, click Here
<http://www.mcafee.com/myapps/clinic/protect/ov_activeshield.asp> to update
ActiveShield. Click Here
<http://www.mcafee.com/myapps/clinic/protect/ov_scan.asp> to perform a
VirusScan Online. Click Here
<http://download.mcafee.com/updates/updates.asp> to download the latest dat
files for (Retail) McAfee VirusScan. 
Virus Name
Linux/Lion.worm Date Added
3/23/01 2:17:16 PM Virus Characteristics
This is an Internet worm that targets servers running Linux operating
systems. This worm retrieves a package file from an account on the 51.net
domain. This domain is registered in China. 
It may be useful to block the IP address 211.100.18.56 to prevent any
attempt to communicate to this address. 
This Internet worm uses a random port scan and seeks systems which contain a
root access vulnerability in the BIND DNS service on Linux servers. Once a
target is found, the system is attempted for compromise, and password
information is sent to the email address "1i0nsniffer@china.com". 
Additional information available at this link
<http://www.sans.org/y2k/lion.htm>. 
Indications Of Infection
This Internet worm will attempt to gain root access to Linux Servers.
Servers affected contain a version of BIND DNS service which has a
vulnerability. 
etc etc...
Voir la page originale sur McAfee...
Didier


> -----Original Message-----
> From:	hatim [SMTP:hatnet@free.fr]
> Sent:	mercredi 28 mars 2001 17:17
> To:	linux@lists.linuxbe.org
> Subject:	Re: [linux] Fwd: Virus Linux très méchant?
> 
> 
> 
> Virus : un "Lion" franchement féroce 
> 
>  <http://sendinfo.journaldunet.com/sendinfobymail_solutions.perl>
> <http://solutions.journaldunet.com/printer/0103/010327_viruslion.shtml> 
> 
> Et un ver de plus. Après "Magistr"
> <http://solutions.journaldunet.com/0103/010320magistr.shtml>, c'est au
> tour de "Lion Worm" de défrayer la chronique. La découverte en revient à
> l'institut américain SANS <http://www.sans.org/>, spécialisé dans la
> sécurité informatique. Très similaire à l'un de ces congénère connu sous
> le nom de "Ramen", "Lion" semble toutefois beaucoup plus nocif.
> Particularité du nouveau venu, il s'attaque aux machines exploitant le
> serveur DNS Bind <http://www.bind.org/>. Plus précisément, sont concernées
> les versions 8.2, 8.2-P1, 8.2.1, 8.2.2-Px et 8.2.3-betas."Lion" exploite
> en fait l'une des quatre failles découvertes au mois de janvier dans ce
> serveur de noms domaine du logiciel libre. En dépit de la publication des
> correctifs nécessaires, il semble que de nombreux serveurs présentent
> toujours ces failles. Ce ver se propage en utilisant une application
> nommée randb, laquelle scrute de manière aléatoire les réseaux en quête de
> ports TCP perméables... 
> 
> Une version "cheval" de troyes du shell sécurisé
> 
> Une fois cette étape franchie, l'intrus expédie la liste des mots de passe
> système (répertoires /etc/passwd, /etc/shadow/) ainsi que de multiples
> paramètres réseau vers une adresse du domaine "china.com". Manifestement
> désireux de pouvoir agir en toute discrétion, le ver tue le démon
> "stslogd" pour dissimuler ses traces des fichiers de log avant de
> poursuivre ses méfaits. Il installe notamment une back door ainsi qu'une
> d'une version "cheval de troyes" du shell sécurisé. Pour l'heure, SANS
> propose un utilitaire de détection bien nommé Lionfind et prévoit sous peu
> de publier de quoi l'éradiquer. En attendant les administrateurs peuvent
> trouver des détails techniques ici <http://www.sans.org/y2k/lion.htm>.
> [ Cyril Dhénin  <mailto:dhenin@benchmark.fr>, JDNet]
>  << File: send.jpg >>  << File: print.jpg >> 

[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php     ]
[ http://LinuxBe.org              Contact: listmaster@linuxbe.org  ]