Falha no BIND

O worm conhecido como Lion explora a vulnerabilidade do TSIG do BIND, versões 8.2, 8.2-p1, 8.2.1, 8.2.2-px.
A falha ocorre no controle dos pacotes de resolução de nomes, enviados com a opção Transactional Signatures. Havendo um desvio de fluxo de execução é possível ganhar o acesso como usuário "root" remotamente

O Worm Lion

Depois de instalado, ele verifica se o sistema está vulnerável; caso esteja, ele automaticamente instalará um programa chamado "name" e "rootkitstorn", alterando assim a maioria dos seus arquivos "binários", por outros já "infectados". Um dos binários alterados é o " ps", escondendo assim alguns processos do sistema. Outros binários são modificados, como Is, login, find, netstat, etc.

Em seguida, ele envia seus arquivos de senhas para um servidor e apaga o arquivo "/etc/host.deny", deixando seus sistema menos seguro.
O Worm Lion dá acesso como "root" nas portas 60008/tcp e 33567/tcp; ainda instala o Trinoo Flood Network, permitindo assim ataques de Distributed Denial of Service.