Ramen (Computerwurm)

Ramen
Name	Ramen
Aliase	Linux.Ramen, Unix/Ramen
Bekannt seit	2001
Typ	Netzwerkwurm
Weitere Klassen	Nematode
Autoren	Gruppe: „RameN Crew“
Speicherresident	ja
Verbreitung	Exploit, FTP
System	Red Hat Linux 6.2 und 7.0

Der Computerwurm Ramen war im Januar 2001 in unkontrolliertem Umlauf.

Ramen ist ein destruktiver Wurm und konnte auf ungeschützten Systemen Dateien vernichten. Das Computer Emergency Response Team gab eine Warnung heraus.^[1] Er befiel ausschließlich die Versionen 6.2 und 7.0 von Red Hat Linux und nutzte dabei eine bereits bekannte Sicherheitslücke aus.^[2] Seinen Namen erhielt er, weil er auf infizierten Systemen HTML-Seiten mit dem Bild einer Packung asiatischer Instant-Nudelsuppe, sogenannte Ramen, anlegte.^[3]

Später wurden noch weitere, modifizierte Versionen des Wurms bekannt. In der Presse wurde Ramen teilweise inkorrekt als Computervirus bezeichnet.

Funktion Bearbeiten

Ausbreitung Bearbeiten

Der Wurm suchte auf Red-Hat-Systemen der Version 6.2 nach verwundbaren Versionen der Dienste rpc.statd und wu-ftpd. Auf Version 7.0 des Systems suchte er nach verwundbaren Versionen des Druck-Dienstes LPRng. Alle drei Dienste wiesen die gleiche Format-String-Verwundbarkeit auf.^[3]^[4]

Auf befallenen Systemen wurde ein rudimentärer HTTP-Server gestartet und an Port 27374 gebunden. Anschließend erzeugte der Wurm zufällig Klasse-B-IP-Adressen und versuchte, eine Verbindung auf Port 21 (FTP) aufzubauen. Unter Nutzung einer angepassten Version der Software syscan prüfte er anhand des FTP-Banners, ob auf dem Zielsystem die Linux-Distribution Red Hat in der Version 6.2 oder 7.0 lief. Wenn dies der Fall war, versuchte der Wurm das Zielsystem zu infizieren.

Exploit Bearbeiten

Bei den ausgenutzten Sicherheitslücken handelte es sich um bekannte Probleme, die in aktualisierten Versionen der entsprechenden Pakete korrigiert waren. Systeme, auf denen alle Sicherheitsaktualisierungen installiert waren, waren daher nicht anfällig für den Wurm. Der Ramen-Wurm besteht im Wesentlichen aus Programmcode, der zu Demonstrationszwecken der Sicherheitslücken geschrieben wurde. Der Code wurde dann zu Malware zusammengefügt. Da der Wurm Besonderheiten von RedHat ausnutzt, konnte er auch nur RedHat, aber keine SuSE-Installationen infizieren. Der Quellcode von Ramen enthielt allerdings auch Routinen um SuSE Linux und FreeBSD zu infizieren. Diese Teile des Schadprogramms wurden aus unbekannten Gründen nicht genutzt.

Mittlerweile werden anfällige System wohl kaum mehr betrieben.^[3]

Payload Bearbeiten

Sobald ein Rechner infiziert war, wurde die Sicherheitslücke (durch die der Wurm eindringen konnte) geschlossen. Auf diese Art wollte der Entwickler den Ramen-Wurm vermutlich vor Nematoden und unliebsamer Konkurrenz schützen (verhielt sich diesbezüglich aber auch selbst wie ein Nematode). Anschließend wurde automatisch ein Rootkit installiert, um die Aktivitäten des Wurms zu verbergen. Die Identität des Systems wurde daraufhin an eine E-Mail-Adresse geschickt, die in den Quellcode des Wurms eingebaut war. Der Ramen-Wurm ersetzte alle HTML-Dateien namens „index.html“ durch eine veränderte Version, die folgenden Inhalt hatte:

            RameN Crew
 
Hackers looooooooooooooooove noodles.™
 
          This site powered by

Übersetzung: „RameN-Gruppe – Hacker liiiiiiiiiiiiiiieben Nudeln.™ – Diese Seite wird unterstützt von“

Darunter war das Bild einer Packung „Top Ramen Oriental“ der Firma Nissin Foods eingebunden.

Das Bild stammte von der Webseite des Herstellers und hatte damals die Internetadresse www.nissinfoods.com/tr_oriental.jpg. Mittlerweile ist das Bild unter dieser Adresse nicht mehr verfügbar. Man kann aber eine archivierte Version in der Wayback Machine einsehen.^[5]

Entfernung Bearbeiten

Mittlerweile dürften anfällige Betriebssysteme kaum mehr angewendet werden.

Befallene Systeme ließen sich einfach bereinigen und schützen:^[6]

Deaktivieren der potenziell verwundbaren Dienste
Löschen der Dateien /usr/src/.poop und /sbin/asp
Löschen aller Referenzen aus /etc/rc.d/rc.sysinit und /etc/inetd.conf auf die Dateien /etc/src/.poop. und /sbin/asp
Einspielen von Patches für die betroffenen Dienste
Neustart des Systems

Siehe auch Bearbeiten

Liste von Linux-Malware

Einzelnachweise Bearbeiten

↑ cert.org CERT Incident Note IN-2001-01 (englisch)
↑ kaspersky.de Wie Schadprogramme ins System eindringen
↑ ^a ^b ^c pcwelt.de Linux-Wurm greift um sich
↑ SANS: Malware FAQ: LPRng Format String Vulnerability and related exploits. The SANS Institute, archiviert vom Original am 27. Mai 2010; abgerufen am 8. Februar 2010 (englisch).
↑ nissinfoods.com Top Ramen Oriental (Archivierte Version)
↑ advise71. Internet Security Systems, Inc., archiviert vom Original am 16. November 2010; abgerufen am 8. Februar 2010 (englisch).

Weblinks Bearbeiten

kaspersky.com Datenbankeintrag zum Ramen-Wurm
virus.wikidot.com Fachwiki-Eintrag zum Ramen-Wurm
giac.org Global Information Assurance Certification Paper about Ramen Worm (PDF-Download)
heise.de Linux-Wurm verbreitet sich offensichtlich rasant
linuxdevcenter.com Ramen Worm Attacks Red Hat Linux Machines (englisch)

[1] rt.org CERT Incident Note IN-2001-01 (englisch)

[2] spersky.de Wie Schadprogramme ins System eindringen

[pcwelt-3] welt.de Linux-Wurm greift um sich

[4] SANS: Malware FAQ: LPRng Format String Vulnerability and related exploits. The SANS Institute, archiviert vom Original am 27. Mai 2010; abgerufen am 8. Februar 2010 (englisch).

[5] ssinfoods.com Top Ramen Oriental (Archivierte Version)

[6] advise71. Internet Security Systems, Inc., archiviert vom Original am 16. November 2010; abgerufen am 8. Februar 2010 (englisch).

[1]

[2]

[3]

[4]

[5]

[6]