Web – Il suo nome è Adore, anche conosciuto come Red worm, ed è il terzo vermicello per Linux a venire alla ribalta nel giro di poco tempo.
Secondo gli esperti di sicurezza, sarebbe comparso per la prima volta il primo di aprile e sarebbe figlio degli ormai noti Ramen e Lion, due worm con i quali sembra avere molto in comune.
Adore scandisce la Rete alla ricerca di host Linux vulnerabili a quattro falle di sicurezza relative ai software LPRng, rpc-statd, wu-ftpd e BIND. I primi tre exploit sono gli stessi sfruttati da Ramen, mentre l’ultimo è quello utilizzato da Lion.
Il vermicello rimpiazza soltanto un file, ps , con un cavallo di Troia, dopodiché spedisce un e-mail ad alcuni indirizzi di domini ospitati su server cinesi e americani. L’e-mail contiene i seguenti file:
/etc/ftpusers
ifconfig
ps -aux
/root/.bash_history
/etc/hosts
/etc/shadow
Fatto questo, come già succedeva con Ramen e Lion, il worm si preoccupa di installare una backdoor, una porta d’entrata nascosta che consente l’accesso illecito nel sistema a chi ne sia a conoscenza. Come ultima operazione, Adore rimuove ogni sua traccia dal sistema vittima, eseguendo infine un riavvio della macchina in piena notte.
Per rilevare e rimuovere il virus è già disponibile un tool, ” adorefind “, capace di fermare l’esecuzione del worm e cancellarlo in modo definitivo dal sistema.
Gli esperti di sicurezza sostengono che le patch che pongono fine alle vulnerabilità sfruttate da Ramen e dai suoi fratellini sono già disponibili da tempo: la più recente (fine gennaio) è quella di BIND, disponibile qui .