GUSANO

Ramen

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: Linux.Ramen, Linux/Ramen, Unix/Ramen, Linux/Ramen.Worm.
Tipo: Gusano de Linux.
Deteccion: Fue detectado a mediados de enero del 2001 y la NASA, Agencia Aeroespacial de los Estados Unidos en California, fue una de las primeras víctimas.

Ramen este gusano de Internet se propaga de un servidor Linux a otro, en realidad se trata de una voluminosa y efectiva colección de herramientas de hacking con las que su autor escanea Internet para detectar los servidores Red Hat de Linux -versiones 6.2 y 7.0- e infiltrarse en ellos.

Una vez que el gusano ha tenido acceso al PC crea un directorio secreto denominado "/usr/src/.poop/", se copia a sí mismo allí como "ramen.tgz", se extrae a sí mismo y ejecuta "start.sh" shell script. El script se ejecutará bajo el privilegio de usuario "root". Reemplaza todas las páginas "index.html" del sistema, incluyendo la web del servidor si está en uso, con un mensaje que tiene el siguiente aspecto:

RameN Crew
Hackers loooooooooooooove noodles
This site is powered by: (fotografía de un paquete de salchichas de frankfurt marca Ramen).

Lo siguiente que hace Ramen es borrar el archivo "/etc/hosts.deny", que detecta bajo Red Hat Linux 6.2 o 7.0, por lo que puede utilizar precompilaciones binarias para esos sistemas. Además, se suma al "/etc/rc.d/rc.sysinit", dando lugar a que el gusano esté activo cuando el sistema sea reiniciado. Después, copia una simple aplicación en "/sbin/asp", que escucha el puerto 27347; usando una conexión a este puerto el gusano se trasladará a un servidor remoto.

En el Red Hat 6.2 el gusano borra "/sbin/rpc.statd" y "/usr/sbin/rpc.rstatd". En el Red Hat 7.0, reemplaza el "/usr/sbin/lpd/" con un archivo de cero bytes. En los dos sistemas el gusano deja imposibilitado el acceso anónimo al servidor ftp. Estos cambios en el sistema inutilizan los servicios vulnerables, por lo que Ramen no infectará el sistema de nuevo. Finalmente, el gusano comenzará tres procesos de forma no visible, que escanearán subnets de clase B al azar para buscar servidores vulnerables e infectarlos.


Copyright © VIRUSPROT.COM