Ramen (Computerwurm)
Ramen | |
---|---|
Name | Ramen |
Aliase | Linux.Ramen, Unix/Ramen |
Bekannt seit | 2001 |
Typ | Netzwerkwurm |
Weitere Klassen | Nematode |
Autoren | Gruppe: „RameN Crew“ |
Speicherresident | ja |
Verbreitung | Exploit, FTP |
System | Red Hat Linux 6.2 und 7.0 |
Der Computerwurm Ramen war im Januar 2001 in unkontrolliertem Umlauf.
Ramen ist ein destruktiver Wurm und konnte auf ungeschützten Systemen Dateien vernichten. Das Computer Emergency Response Team gab eine Warnung heraus.[1] Er befiel ausschließlich die Versionen 6.2 und 7.0 von Red Hat Linux und nutzte dabei eine bereits bekannte Sicherheitslücke aus.[2] Seinen Namen erhielt er, weil er auf infizierten Systemen HTML-Seiten mit dem Bild einer Packung asiatischer Instant-Nudelsuppe, sogenannte Ramen, anlegte.[3]
Später wurden noch weitere, modifizierte Versionen des Wurms bekannt. In der Presse wurde Ramen teilweise inkorrekt als Computervirus bezeichnet.
Funktion
[Bearbeiten | Quelltext bearbeiten]Ausbreitung
[Bearbeiten | Quelltext bearbeiten]Der Wurm suchte auf Red-Hat-Systemen der Version 6.2 nach verwundbaren Versionen der Dienste rpc.statd
und wu-ftpd
. Auf Version 7.0 des Systems suchte er nach verwundbaren Versionen des Druck-Dienstes LPRng. Alle drei Dienste wiesen die gleiche Format-String-Verwundbarkeit auf.[3][4]
Auf befallenen Systemen wurde ein rudimentärer HTTP-Server gestartet und an Port 27374 gebunden. Anschließend erzeugte der Wurm zufällig Klasse-B-IP-Adressen und versuchte, eine Verbindung auf Port 21 (FTP) aufzubauen. Unter Nutzung einer angepassten Version der Software syscan prüfte er anhand des FTP-Banners, ob auf dem Zielsystem die Linux-Distribution Red Hat in der Version 6.2 oder 7.0 lief. Wenn dies der Fall war, versuchte der Wurm das Zielsystem zu infizieren.
Exploit
[Bearbeiten | Quelltext bearbeiten]Bei den ausgenutzten Sicherheitslücken handelte es sich um bekannte Probleme, die in aktualisierten Versionen der entsprechenden Pakete korrigiert waren. Systeme, auf denen alle Sicherheitsaktualisierungen installiert waren, waren daher nicht anfällig für den Wurm. Der Ramen-Wurm besteht im Wesentlichen aus Programmcode, der zu Demonstrationszwecken der Sicherheitslücken geschrieben wurde. Der Code wurde dann zu Malware zusammengefügt. Da der Wurm Besonderheiten von RedHat ausnutzt, konnte er auch nur RedHat, aber keine SuSE-Installationen infizieren. Der Quellcode von Ramen enthielt allerdings auch Routinen um SuSE Linux und FreeBSD zu infizieren. Diese Teile des Schadprogramms wurden aus unbekannten Gründen nicht genutzt.
Mittlerweile werden anfällige System wohl kaum mehr betrieben.[3]
Payload
[Bearbeiten | Quelltext bearbeiten]Sobald ein Rechner infiziert war, wurde die Sicherheitslücke (durch die der Wurm eindringen konnte) geschlossen. Auf diese Art wollte der Entwickler den Ramen-Wurm vermutlich vor Nematoden und unliebsamer Konkurrenz schützen (verhielt sich diesbezüglich aber auch selbst wie ein Nematode). Anschließend wurde automatisch ein Rootkit installiert, um die Aktivitäten des Wurms zu verbergen. Die Identität des Systems wurde daraufhin an eine E-Mail-Adresse geschickt, die in den Quellcode des Wurms eingebaut war. Der Ramen-Wurm ersetzte alle HTML-Dateien namens „index.html“ durch eine veränderte Version, die folgenden Inhalt hatte:
RameN Crew Hackers looooooooooooooooove noodles.™ This site powered by
Übersetzung: „RameN-Gruppe – Hacker liiiiiiiiiiiiiiieben Nudeln.™ – Diese Seite wird unterstützt von“
Darunter war das Bild einer Packung „Top Ramen Oriental“ der Firma Nissin Foods eingebunden.
Das Bild stammte von der Webseite des Herstellers und hatte damals die Internetadresse www.nissinfoods.com/tr_oriental.jpg
. Mittlerweile ist das Bild unter dieser Adresse nicht mehr verfügbar. Man kann aber eine archivierte Version in der Wayback Machine einsehen.[5]
Entfernung
[Bearbeiten | Quelltext bearbeiten]Mittlerweile dürften anfällige Betriebssysteme kaum mehr angewendet werden.
Befallene Systeme ließen sich einfach bereinigen und schützen:[6]
- Deaktivieren der potenziell verwundbaren Dienste
- Löschen der Dateien /usr/src/.poop und /sbin/asp
- Löschen aller Referenzen aus /etc/rc.d/rc.sysinit und /etc/inetd.conf auf die Dateien /etc/src/.poop. und /sbin/asp
- Einspielen von Patches für die betroffenen Dienste
- Neustart des Systems
Siehe auch
[Bearbeiten | Quelltext bearbeiten]Einzelnachweise
[Bearbeiten | Quelltext bearbeiten]- ↑ cert.org CERT Incident Note IN-2001-01 (englisch)
- ↑ kaspersky.de Wie Schadprogramme ins System eindringen
- ↑ a b c pcwelt.de Linux-Wurm greift um sich
- ↑ SANS: Malware FAQ: LPRng Format String Vulnerability and related exploits. The SANS Institute, archiviert vom am 27. Mai 2010; abgerufen am 8. Februar 2010 (englisch).
- ↑ nissinfoods.com Top Ramen Oriental (Archivierte Version)
- ↑ advise71. Internet Security Systems, Inc., archiviert vom am 16. November 2010; abgerufen am 8. Februar 2010 (englisch).
Weblinks
[Bearbeiten | Quelltext bearbeiten]- kaspersky.com Datenbankeintrag zum Ramen-Wurm
- virus.wikidot.com Fachwiki-Eintrag zum Ramen-Wurm
- giac.org Global Information Assurance Certification Paper about Ramen Worm (PDF-Download)
- heise.de Linux-Wurm verbreitet sich offensichtlich rasant
- linuxdevcenter.com Ramen Worm Attacks Red Hat Linux Machines (englisch)