19 stycznia 2001

Ramen - pierwszy udany atak na Linux'a ?

Jest to robak internetowy atakujący komputery pracujące pod kontrolą systemu Red Hat Linux. Zmienia zawartość wszystkich plików INDEX.HTML znalezionych w atakowanym systemie.

Aby dostać się do zainstalowanych na atakowanych komputerach systemów Red Hat Linux 6.2 lub 7.0, "Ramen" wykorzystuje dziury w ich zabezpieczeniach, nazwane "in.ftpd", "rpc.statd" oraz "LPRng". Wszystkie te dziury umożliwiają przesłanie do zdalnego systemu uruchamialnego kodu i uruchomienie go bez wiedzy użytkownika.

Mechanizm działania robaka jest złożony. Najpierw, atakowany komputer otrzymuje dane, które powodują przepełnienie wewnętrznego bufora systemu. Następnie, kod robaka wymusza prawa administratora (użytkownika "root"), uruchamia procesor komend i wywołuje instrukcje wirusa. "Ramen" tworzy katalog "/usr/src/.poop", uruchamia przeglądarkę internetową "lynx" i pobiera swoje archiwum "RAMEN.TGZ" ze zdalnego komputera. Na koniec wirus otwiera pobrane archiwum i uruchamia zawarty w nim plik "START.SH".

Jednynym szkodliwym działaniem robaka jest zmiana zawartości wszystkich plików "INDEX.HTML" znalezionych w systemie. Po uruchomieniu, zainfekowane pliki wyświetlają wiadomość o infekcji systemu.

Warto zaznaczyć, że dziury w zabezpieczeniach, wykorzystywane przez robaka "Ramen" zostały znalezione również w innych dystrybucjach systemu Linux, takich jak: Caldera OpenLinux, Connectiva Linux, Debian Linux, HP-UX, Slackware Linux i innych.