Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: Linux.Ramen.Worm. Se propaga a gran velocidad en Linux
 
VSantivirus No. 195 - Año 5 - Viernes 19 de enero de 2001

Nombre: Linux.Ramen.Worm
Tipo: Gusano de Linux
Fecha: 17/ene/01
Sistemas afectados: Red Hat Linux 6.2, 7.0
Puerto: 27374

Linux.Ramen es un gusano de Linux, que afecta computadoras con el sistema operativo Red Hat 6.2 o 7.0. No se ejecuta bajo Windows.

Se trata en realidad de una colección de scripts y utilidades de Linux, que llegan al sistema infectado en un archivo llamado Ramen.tgz.

El gusano comienza ejecutando un shell script llamado start.sh. Este script llama a un generador de números al azar, que genera direcciones IP (subred de clase B).

El gusano intentará copiarse a si mismo a una de las direcciones de ese rango IP, si localiza allí un servidor corriendo bajo Linux Red Hat 6.2 o 7.0.

También ejecuta un servidor HTTP en el puerto 27374 de la máquina infectada, y luego, aprovechándose de conocidas vulnerabilidades de las versiones de Linux mencionadas, puede ganar el acceso al servidor, donde reemplazará la página principal, por el siguiente texto:

RameN Crew--Hackers looooooooooooove noodles.

El gusano es capaz de escanear Internet en forma muy rápida (más de 100.000 direcciones IP en menos de 15 minutos) en busca de servidores para infectar. Para hacer este escaneo utiliza enormes cantidades de ancho de banda. A pesar de ello, se ha estado propagando muy rápidamente.

En las computadoras con Red Hat 6.2, el gusano se aprovecha de la vulnerabilidad rpc.statd o wuftpd service. En Red Hat 7.0, explota el bug LPRng, para lograr el acceso al sistema.

Una vez en el mismo, el gusano se copia a si mismo al archivo tar.gz. Este paquete puede ser bajado desde el servidor HTTP en el puerto 27374 creado por el virus.

El gusano extrae el contenido de este paquete dentro de un directorio temporal en la computadora atacada y ejecuta el archivo start.sh, activando el gusano en la nueva máquina.

Por último, el trojan envía un mensaje de correo electrónico a dos cuentas anónimas en Yahoo! y Hotmail, o basadas en el propio servidor afectado, al que luego reinicia, comenzando nuevamente el escaneo de Internet. El mensaje contiene la dirección IP de la máquina atacada.

Para borrar Linux.Ramen.Worm

1. Ejecute un antivirus actualizado para Linux, y borre los archivos afectados.
2. Instale los parches que corrigen estas vulnerabilidades:

Red Hat 7.0 Security Advisories
http://www.redhat.com/support/errata/rh7-errata-security.html

Red Hat 6.2 Security Advisories
http://www.redhat.com/support/errata/rh62-errata-security.html

Fuente: Symantec, Sophos, McAfee, F-Secure, Kaspersky


Ver también:
21/may/01 - Linux/Cheese.worm. ¿Un virus "benigno"?
06/abr/01 - Linux.Adore.Worm. Diseñado para crear puertas traseras
24/mar/01 - Linux/Lion.worm. Peligrosa amenaza para servidores Linux
04/feb/01 - Sobre las vulnerabilidades BIND

 

Copyright 1996-2001 Video Soft BBS