Ramen-Wurm

Der Ramen-Wurm (englisch Ramen worm, auch inkorrekt Ramen virus) war ein Computerwurm, der im Januar 2001 in Umlauf war. Er befiel ausschließlich die Versionen 6.2 und 7.0 der Linux-Distribution Red Hat.

Angriffsmethode

Der Wurm suchte auf Red-Hat-Systemen der Version 6.2 nach verwundbaren Versionen der Dienste rpc.statd und wuftpd. Auf Version 7.0 des Systems suchte er nach verwundbaren Versionen des Druck-Dienstes LPRng. Alle drei Dienste wiesen die gleiche Format-String-Verwundbarkeit auf.^[1]

Verbreitungsstrategie

Auf befallenen Systemen wurde ein rudimentärer HTTP-Server gestartet und an Port 27374 gebunden. Anschließend erzeugte der Wurm zufällig Klasse-B-IP-Adressen und versuchte, eine Verbindung auf Port 21 (FTP) aufzubauen. Unter Nutzung einer angepassten Version der Software syscan prüfte er anhand des FTP-Banners, ob auf dem Zielsystem die Linux-Distribution Red Hat in der Version 6.2 oder 7.0 lief. Wenn dies der Fall war, versuchte der Wurm das Zielsystem zu infizieren.

Bei den ausgenutzten Sicherheitslücken handelte es sich um bekannte Probleme, die in aktualisierten Versionen der entsprechenden Pakete korrigiert waren. Systeme, auf denen alle Sicherheitsaktualisierungen installiert waren, waren daher nicht anfällig für den Virus.

Payload

Sobald ein Rechner infiziert war, wurde die Sicherheitslücke (durch die der Wurm eindringen konnte) geschlossen. Anschließend wurde automatisch ein rootkit installiert, um die Aktivitäten des Wurms zu verbergen. Die Identität des Systems wurde daraufhin an eine E-Mail-Adresse geschickt, die in den Quellcode des Wurms eingebaut war. Der Ramen Wurm ersetzte alle HTML-Dateien namens „index.html“ durch eine veränderte Version mit dem Titel „Ramen Crew“, die folgenden Inhalt hatte:

RameN Crew

Hackers looooooooooooooooove noodles.

This site powered by

Zu deutsch:

RameN-Gruppe

Hacker liiiiiiiiiiiiieben Nudeln.

Diese Seite wird unterstützt von

Darunter war ein Bild einer Packung Ramen-Nudeln von der Adresse http://www.nissinfoods.com/tr_oriental.jpg eingebunden. (Unter der Adresse ist das Bild nicht mehr verfügbar, in der Wayback Machine kann aber noch eine Kopie eingesehen werden.)

Entfernung

Mit folgenden Schritten lässt sich der Schädling von befallenen Systemen entfernen:^[2]

• Deaktivieren der potenziell verwundbaren Dienste
• Löschen der Dateien /usr/src/.poop und /sbin/asp
• Löschen aller Referenzen aus /etc/rc.d/rc.sysinit und /etc/inetd.conf auf die Dateien /etc/src/.poop. und /sbin/asp
• Einspielen von Patches für die betroffenen Dienste
• Neustart des Systems

Einzelnachweise

1. ↑ SANS: Malware FAQ: LPRng Format String Vulnerability and related exploits. The SANS Institute. Abgerufen am 8. Februar 2010.
2. ↑ advise71. Internet Security Systems, Inc.. Abgerufen am 8. Februar 2010.

Weblinks

• Linux-Wurm verbreitet sich offensichtlich rasant – Meldung bei Heise online
• Ramen Worm Attacks Red Hat Linux Machines (englisch)
• CERT Incident Note IN-2001-01 – Meldung des Computer Emergency Response Team (englisch)
• Eingebundenes Bild in der Wayback Machine