De worm richt zich op Linux-servers, waarop BIND-software draait. BIND staat voor Berkeley Internet Name Domain en BIND-software is verantwoordelijk voor het 'vertalen' van de IP-nummers (de nummers die onder meer gebruikt worden voor domeinnamen) in de woorden waaronder domeinen bij de gebruikers bekend staan. Als een gebruiker bijvoorbeeld www.webwereld.nl intypt, vertaalt BIND dat in het IP-adres van de WebWereld-site: 193.172.237.101. Gewone internetgebruikers kunnen niet direct het slachtoffer worden van Lion. Alleen indirect: omdat BIND op vrijwel elke Domain Name System (DNS) server staat, kan de worm websites uit de lucht halen en netwerken platleggen. Lion maakt gebruik van een tekortkoming in het BIND-systeem, die eind januari werd ontdekt. Destijds waarschuwden veiligheidsexperts al dat het een kwestie van tijd zou zijn voordat een hacker misbruik zou maken van het lek in BIND. Systeem- en netwerkbeheerders werd dan ook aangeraden om hun systemen te updaten. Uit onderzoek van MenAndMice.com bleek eind februari echter dat veel beheerders dat hadden nagelaten. Twaalf procent van de duizend grootste bedrijven van de Verenigde Staten en dertien procent van de .com-websites hadden zich niet beveiligd. Nu is het dan zover. Volgens de beveiligingsorganisatie SANS is het aantal geautomatiseerde pogingen om misbruik te maken van het lek in BIND de afgelopen twee dagen met 500 procent gestegen. Verantwoordelijk voor deze stijging is de worm Lion, vergelijkbaar met de Ramen-worm die in januari toesloeg. "Maar Lion is een stuk gevaarlijker", zo waarschuwt SANS. Als de worm een slecht beschermd systeem binnendringt, steelt hij alle gebruikersnamen en wachtwoorden voor het systeem en stuurt die door naar een adres bij china.com. Daarnaast herschrijft de worm verscheidene programma's die op de computer staan, zodat ze veranderen in Trojaanse paarden. Een extra complicatie is dat de worm moeilijk is op te sporen. Lion installeert een zogeheten 'root kit' op de geïnfecteerde computers. Deze root kit versluiert de aanwezigheid van de geïnstalleerde hackprogramma's. SANS verspreidt nu het programma Lionfind, waarmee beheerders kunnen nagaan of hun systemen zijn besmet. "De worm verandert je systeem in een gatenkaas", aldus Alan Paller van SANS. "Geen van de dingen die de worm doet, is nieuw. Alle componenten van de worm heb ik al eens eerder gezien. Het nieuwe aan de worm is de combinatie van die componenten: hij schopt je deur in, eet al je eten op, slaapt in je bed, steelt al je juwelen en ga zo maar door." Ondanks de destructieve kenmerken van de worm en het grote aantal kwetsbare servers, is de schade vooralsnog beperkt. SANS heeft vijf meldingen gekregen van Lion-infecties: vier bij bedrijven en een bij een universiteit.

Eerdere relevante berichten:
Groot veiligheidsgat in DNS-software BIND (30 januari 2001)
Worm zorgt voor onrust in Linux-gemeenschap (18 januari 2001)