|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
Linux.Ramen
alias: linux.ramen.worm, Worm.Linux.Ramen
Typ: Internet.Wurm
Linux.Ramen ist ein weiterer Wurm, der gezielt auf das Betriebssystem
Linux abzielt und somit am Mythos "virenfreies Linux" kratzt. Linux.Ramen
basiert auf einer Ansammlung von Tools, die auf diversen Internetseiten
zum Download angeboten werden, was darauf schließen läßt, daß in naher
Zukunft mit weiteren Viren für Linux zu rechnen ist. Der Wurm nutzt die
seit langem bekannten Sicherheitslücken aemonsrpc.statd, wu-ftpd und
LPRng in der Distribution von Red Hat 6.2 sowie der Version 7. Für diese
Sicherheitslücken wurden von Red Hat schon seit längerem Patches zur
Verfügung gestellt, so das nur schlecht bzw. ungewartete Rechner befallen
werden können. Gelingt es dem Wurm Zugang über eine der o.g. Sicherheitslücken
zu erlangen, lädt er eine Kopie seiner selbst in das Verzeichnis /TMP/RAMEN.TGZ
und entpackt sich selbst in das Verzeichnis /USR/SCR/.POOP Verzeichnis.
Um sicher zu stellen, daß der Wurm beim Rechnerstart auch verlässlich
gestartet wird, fügt der Wurm eine Zeile unter /ETC/RC.D/RC.SYSINIT ein.
Als erste Schadenfunktion richtet dieser Virus zunächst auf Port 27374
einen rudimentären HTTP/0.9-Server ein, um sich selbständig weiterverbreiten
zu können. Durch den folgenden Syn-Scan auf Port 21 (FTP) durchsucht er das
Internet nach weiteren Opfern, an die er sich versendet sprich kopiert.
Gelingt ihm dies, so wird auf den infizierten Web-Servern die Einstiegsseite
verändert(index.html), und zwar mit einer HTML-Datei die folgendes anzeigt:
RameN Crew
Hackers looooooooooooove noodles.Ô
Der Wurm löscht dann wahlweise die Verzeichnisse
/usr/sbin/rpc.statd
/usr/sbin/lpd
/sbin/rpc.statd
und installiert ein sogenanntes Root-Kit, das durch die Reparatur der
Sicherheitslücken seine Aktivitäten verbergen soll.
|
|
Linktipps: Betreuung aus polen
|
|
|
|
