安全维护组织美国SANS Institute（System Administration Networking and Security Institute)于美国当地时间4月4日发布警告，提醒网络界注意被称之为“Adore”的蠕虫新病毒。在Linux上只要存在安全漏洞的“Lp Rng”、“rpc-statd”、“Wu-ftpd”、“BIND”，在运行时便会成为其攻击的对象。一旦遭到蠕虫的入侵，病毒便会尝试从该引擎入侵其它引擎的同时，设置便于自己入侵的“后门”。 　　SANS Institute在网上公开的杀毒工具可以查出是否被蠕虫设置了入侵的后门，并能杀死蠕虫。 　　4月1日才确认为病毒的Adore蠕虫和已经报道过的“Ramen”和“Lion”极为相似，该蠕虫先是扫描互联网上的引擎，一旦发现有安全隐患的“LpRng”、“rpc-statd”、“Wu-ftpd”、“BIND”等在运行Linux引擎，便会试图入侵。只要入侵成功，为了不暴露自己，便将ps指令改换成非法的ps指令，根据与安全相关的配对清单（marring list），若是被改换的ps指令，蠕虫及已有蠕虫进驻的程序，其信息均不会显示出来。 　　而且该蠕虫还会将入侵的引擎的密码文件和建立的文件以及系统信息等发送到某个指定的电子邮件地址上，进而为了以后能从外部入侵该引擎，蠕虫还将设置后门。SANS Institute一直在敦促发送了“Adore”的电子邮件地址管理商关闭有关e-mail地址，但是至今没有得到回音。 　　蠕虫每天定期采取以下行动： （1）Adore蠕虫病毒一发作便会企图入侵其他的引擎 （2）然后为了消除所在引擎的痕迹，将改换引擎的时间表文件（cron 计时程序） 　　此次沦为Adore攻击对象的“LpRng”、“rpc-statd”、“Wu-ftpd”、“BIND”，其安全漏洞因被频繁地非法入侵，曾被多次警告过，管理人员必须采取下列的措施：（1）进行适当的修补，（2）停止相关服务。SANS Institute已公开了“adorefinder”这种杀毒工具，只要使用这种杀毒工具便能查出Adore 蠕虫所设置的后门并予以铲除。 (2001年4月12日)

关键字：