Ramen (Computerwurm)

Computerwurm

Der Computerwurm Ramen war im Januar 2001 in unkontrolliertem Umlauf.

Ramen
Name Ramen
Aliase Linux.Ramen, Unix/Ramen
Bekannt seit 2001
Typ Netzwerkwurm
Weitere Klassen Nematode
Autoren Gruppe: „RameN Crew“
Speicherresident ja
Verbreitung Exploit, FTP
System Red Hat Linux 6.2 und 7.0

Ramen ist ein destruktiver Wurm und konnte auf ungeschützten Systemen Dateien vernichten. Das Computer Emergency Response Team gab eine Warnung heraus.[1] Er befiel ausschließlich die Versionen 6.2 und 7.0 von Red Hat Linux und nutzte dabei eine bereits bekannte Sicherheitslücke aus.[2] Seinen Namen erhielt er, weil er auf infizierten Systemen HTML-Seiten mit dem Bild einer Packung asiatischer Instant-Nudelsuppe, sogenannte Ramen, anlegte.[3]

Später wurden noch weitere, modifizierte Versionen des Wurms bekannt. In der Presse wurde Ramen teilweise inkorrekt als Computervirus bezeichnet.

Funktion

Bearbeiten

Ausbreitung

Bearbeiten

Der Wurm suchte auf Red-Hat-Systemen der Version 6.2 nach verwundbaren Versionen der Dienste rpc.statd und wu-ftpd. Auf Version 7.0 des Systems suchte er nach verwundbaren Versionen des Druck-Dienstes LPRng. Alle drei Dienste wiesen die gleiche Format-String-Verwundbarkeit auf.[3][4]

Auf befallenen Systemen wurde ein rudimentärer HTTP-Server gestartet und an Port 27374 gebunden. Anschließend erzeugte der Wurm zufällig Klasse-B-IP-Adressen und versuchte, eine Verbindung auf Port 21 (FTP) aufzubauen. Unter Nutzung einer angepassten Version der Software syscan prüfte er anhand des FTP-Banners, ob auf dem Zielsystem die Linux-Distribution Red Hat in der Version 6.2 oder 7.0 lief. Wenn dies der Fall war, versuchte der Wurm das Zielsystem zu infizieren.

Bei den ausgenutzten Sicherheitslücken handelte es sich um bekannte Probleme, die in aktualisierten Versionen der entsprechenden Pakete korrigiert waren. Systeme, auf denen alle Sicherheitsaktualisierungen installiert waren, waren daher nicht anfällig für den Wurm. Der Ramen-Wurm besteht im Wesentlichen aus Programmcode, der zu Demonstrationszwecken der Sicherheitslücken geschrieben wurde. Der Code wurde dann zu Malware zusammengefügt. Da der Wurm Besonderheiten von RedHat ausnutzt, konnte er auch nur RedHat, aber keine SuSE-Installationen infizieren. Der Quellcode von Ramen enthielt allerdings auch Routinen um SuSE Linux und FreeBSD zu infizieren. Diese Teile des Schadprogramms wurden aus unbekannten Gründen nicht genutzt.

Mittlerweile werden anfällige System wohl kaum mehr betrieben.[3]

Sobald ein Rechner infiziert war, wurde die Sicherheitslücke (durch die der Wurm eindringen konnte) geschlossen. Auf diese Art wollte der Entwickler den Ramen-Wurm vermutlich vor Nematoden und unliebsamer Konkurrenz schützen (verhielt sich diesbezüglich aber auch selbst wie ein Nematode). Anschließend wurde automatisch ein Rootkit installiert, um die Aktivitäten des Wurms zu verbergen. Die Identität des Systems wurde daraufhin an eine E-Mail-Adresse geschickt, die in den Quellcode des Wurms eingebaut war. Der Ramen-Wurm ersetzte alle HTML-Dateien namens „index.html“ durch eine veränderte Version, die folgenden Inhalt hatte:

            RameN Crew
 
Hackers looooooooooooooooove noodles.™
 
          This site powered by

Übersetzung: „RameN-Gruppe – Hacker liiiiiiiiiiiiiiieben Nudeln.™ – Diese Seite wird unterstützt von


Darunter war das Bild einer Packung „Top Ramen Oriental“ der Firma Nissin Foods eingebunden.

Das Bild stammte von der Webseite des Herstellers und hatte damals die Internetadresse www.nissinfoods.com/tr_oriental.jpg. Mittlerweile ist das Bild unter dieser Adresse nicht mehr verfügbar. Man kann aber eine archivierte Version in der Wayback Machine einsehen.[5]

Entfernung

Bearbeiten

Mittlerweile dürften anfällige Betriebssysteme kaum mehr angewendet werden.

Befallene Systeme ließen sich einfach bereinigen und schützen:[6]

  • Deaktivieren der potenziell verwundbaren Dienste
  • Löschen der Dateien /usr/src/.poop und /sbin/asp
  • Löschen aller Referenzen aus /etc/rc.d/rc.sysinit und /etc/inetd.conf auf die Dateien /etc/src/.poop. und /sbin/asp
  • Einspielen von Patches für die betroffenen Dienste
  • Neustart des Systems

Siehe auch

Bearbeiten

Einzelnachweise

Bearbeiten
  1. cert.org CERT Incident Note IN-2001-01 (englisch)
  2. kaspersky.de Wie Schadprogramme ins System eindringen
  3. a b c pcwelt.de Linux-Wurm greift um sich
  4. SANS: Malware FAQ: LPRng Format String Vulnerability and related exploits. The SANS Institute, archiviert vom Original am 27. Mai 2010; abgerufen am 8. Februar 2010 (englisch).
  5. nissinfoods.com Top Ramen Oriental (Archivierte Version)
  6. advise71. Internet Security Systems, Inc., archiviert vom Original am 16. November 2010; abgerufen am 8. Februar 2010 (englisch).
Bearbeiten