Ramen-Wurm

Ramen-Wurm

Der Ramen-Wurm (englisch Ramen worm, auch inkorrekt Ramen virus) war ein Computerwurm, der im Januar 2001 in Umlauf war. Er befiel ausschließlich die Versionen 6.2 und 7.0 der Linux-Distribution Red Hat.

Inhaltsverzeichnis

Angriffsmethode

Der Wurm suchte auf Red-Hat-Systemen der Version 6.2 nach verwundbaren Versionen der Dienste rpc.statd und wuftpd. Auf Version 7.0 des Systems suchte er nach verwundbaren Versionen des Druck-Dienstes LPRng. Alle drei Dienste wiesen die gleiche Format-String-Verwundbarkeit auf.[1]

Verbreitungsstrategie

Auf befallenen Systemen wurde ein rudimentärer HTTP-Server gestartet und an Port 27374 gebunden. Anschließend erzeugte der Wurm zufällig Klasse-B-IP-Adressen und versuchte, eine Verbindung auf Port 21 (FTP) aufzubauen. Unter Nutzung einer angepassten Version der Software syscan prüfte er anhand des FTP-Banners, ob auf dem Zielsystem die Linux-Distribution Red Hat in der Version 6.2 oder 7.0 lief. Wenn dies der Fall war, versuchte der Wurm das Zielsystem zu infizieren.

Bei den ausgenutzten Sicherheitslücken handelte es sich um bekannte Probleme, die in aktualisierten Versionen der entsprechenden Pakete korrigiert waren. Systeme, auf denen alle Sicherheitsaktualisierungen installiert waren, waren daher nicht anfällig für den Virus.

Payload

Sobald ein Rechner infiziert war, wurde die Sicherheitslücke (durch die der Wurm eindringen konnte) geschlossen. Anschließend wurde automatisch ein rootkit installiert, um die Aktivitäten des Wurms zu verbergen. Die Identität des Systems wurde daraufhin an eine E-Mail-Adresse geschickt, die in den Quellcode des Wurms eingebaut war. Der Ramen Wurm ersetzte alle HTML-Dateien namens „index.html“ durch eine veränderte Version mit dem Titel „Ramen Crew“, die folgenden Inhalt hatte:

RameN Crew
Hackers looooooooooooooooove noodles.
This site powered by

Zu deutsch:

RameN-Gruppe
Hacker liiiiiiiiiiiiieben Nudeln.
Diese Seite wird unterstützt von

Darunter war ein Bild einer Packung Ramen-Nudeln von der Adresse http://www.nissinfoods.com/tr_oriental.jpg eingebunden. (Unter der Adresse ist das Bild nicht mehr verfügbar, in der Wayback Machine kann aber noch eine Kopie eingesehen werden.)

Entfernung

Mit folgenden Schritten lässt sich der Schädling von befallenen Systemen entfernen:[2]

  • Deaktivieren der potenziell verwundbaren Dienste
  • Löschen der Dateien /usr/src/.poop und /sbin/asp
  • Löschen aller Referenzen aus /etc/rc.d/rc.sysinit und /etc/inetd.conf auf die Dateien /etc/src/.poop. und /sbin/asp
  • Einspielen von Patches für die betroffenen Dienste
  • Neustart des Systems

Einzelnachweise

  1. SANS: Malware FAQ: LPRng Format String Vulnerability and related exploits. The SANS Institute. Abgerufen am 8. Februar 2010.
  2. advise71. Internet Security Systems, Inc.. Abgerufen am 8. Februar 2010.

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужно решить контрольную?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Japonais (peuple) — Japonais 1re rangée : Prince Shōtoku • Shikibu Murasaki • Ieyasu Tokugawa • Empereur Akihito et impératrice Michiko 2e rangée : Samouraïs du clan Chōshū d …   Wikipédia en Français

  • Wachtelmäre — Die Wachtelmäre ist das einzige bekannte Werk des Spielmanns Peter der Wachtelsack. Sie entstand um die Mitte des 13. Jahrhunderts im damaligen Westungarn. Sie gliedert sich in 18 Strophen. Sie ist in der Coloczaer Abschrift der Heidelberger… …   Deutsch Wikipedia

  • Liste De Jeux Famicom — Listes de jeux vidéo 0 9 A B C D E F G H I J K L M N O P Q R S T …   Wikipédia en Français

  • Liste de jeux Famicom —   Liste des listes de jeux vidéo  La liste de jeux Famicom répertorie alphabétiquement tous les jeux sortis pour la console Famicom de Nintendo …   Wikipédia en Français

  • Liste de jeux famicom — Listes de jeux vidéo 0 9 A B C D E F G H I J K L M N O P Q R S T …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”