Nowy wirus Adore

Adore to kolejny wirus z rosnącej ostatnio rodziny robaków linuksowych, korzystających z tych samych błędów w oprogramowaniu systemowym. Głównym celem działania tego robaka jest przesyłanie pocztą elektroniczną informacji istotnych dla bezpieczeństwa systemu.

Adore korzysta z tych samych, co odkryte ostatnio Lion i Ramen, błędów w pakietach BIND named, wu-ftpd, rpc.statd i lpd.

Adore skanuje podsieci klasy B w poszukiwaniu komputerów podatnych na jego atak, a następnie pobiera z serwera w Chinach dodatkowy kod, instaluje się w systemie ofiary w katalogu /usr/local/bin/lib/, a następnie uruchamia skrypt start.sh.

Skrypt ten zamienia kilka istotnych plików systemowych, czego efektem jest ukrycie działania „robaka”. Chodzi tu o pliki /bin/ps, /usr/bin/anacron oraz demona /sbin/klogd, którego nowa wersja zawiera w sobie konia trojańskiego.

Adore ponadto przesyła istotne informacje, takie jak np. plik zawierający hasła użytkowników, pod cztery adresy poczty elektronicznej.