Virus : un "Lion" franchement féroce

Et un ver de plus. Après "Magistr", c'est au tour de "Lion Worm" de défrayer la chronique. La découverte en revient à l'institut américain SANS, spécialisé dans la sécurité informatique. Très similaire à l'un de ces congénère connu sous le nom de "Ramen", "Lion" semble toutefois beaucoup plus nocif. Particularité du nouveau venu, il s'attaque aux machines exploitant le serveur DNS Bind. Plus précisément, sont concernées les versions 8.2, 8.2-P1, 8.2.1, 8.2.2-Px et 8.2.3-betas."Lion" exploite en fait l'une des quatre failles découvertes au mois de janvier dans ce serveur de noms domaine du logiciel libre. En dépit de la publication des correctifs nécessaires, il semble que de nombreux serveurs présentent toujours ces failles. Ce ver se propage en utilisant une application nommée randb, laquelle scrute de manière aléatoire les réseaux en quête de ports TCP perméables...

Une version "cheval" de troie du shell sécurisé

Une fois cette étape franchie, l'intrus expédie la liste des mots de passe système (répertoires /etc/passwd, etc/shadow/) ainsi que de multiples paramètres réseau vers une adresse du domaine "china.com". Manifestement désireux de pouvoir agir en toute discrétion, le ver tue le démon "syslogd" pour dissimuler ses traces des fichiers de log avant de poursuivre ses méfaits. Il installe notamment une back door ainsi qu'une d'une version "cheval de troie" du shell sécurisé. Pour l'heure, SANS propose un utilitaire de détection bien nommé Lionfind et prévoit sous peu de publier de quoi l'éradiquer. En attendant les administrateurs peuvent trouver des détails techniques ici.
[Cyril Dhénin , JDNet]