[Tech] Nuovo worm
carlo.orecchia@ritram.it
carlo.orecchia@ritram.it
Lun 26 Mar 2001 13:06:24 CEST
>C'e' un nuovo worm, e si chiama lion ( 1i0n.sh ) e assomiglia molto a
>Ramen, il quale e' stato il precedente.
>www.sans.org/y2k/lion.htm
>In questo sito potete trovare un utiliy : lionfind per eliminare lion
>sui vostri sistemi.
Che tempismo! In effetti venerdì sera ho spento il server apposta perchè
avevo notato un comportamento anomalo con iptraf:
vedevo le tracce di migliaia host che si erano collegati, avevano
scambiato un pacchetto, e poi basta. In pratica la connessione sembrava
avvenire simulando il collegamento da molteplici hosts, tutti provenienti
dagli ip 20.88.* e da una altra rete 162.*
Riaccendendo la macchina stamattina ho visto che cercava di avviare uno
script (star.sh) e dopo una breve ricerca ho trovato una directory con
dentro i file.
Uno di questi cerca di mandare (e l'ha fatto) una mail a 1i10nip@china.com
e 1i10nkit@china.com .
Mah, eppure quant'è più bella la Topa...
Saluti.
Maggiori informazioni sulla lista
flug-tech