Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これは、RedHat Linuxシステムに感染する最初の既知のワームです。このワームは、2001年1月中旬に発見されました。ワームは、リモートシステムへのアップロードと短いファイルの実行を可能にするRedHatセキュリティ違反（いわゆる "バッファオーバーラン"違反）を使用して、システムからシステムへと広がります。そこでコードを実行して、メインワームコンポーネントをダウンロードしてアクティブ化します。

このワームはVirusLabでテストされていませんので、以下のすべての情報は「ワームが本当にうまくいくかどうか」と読んでください。また、お客様からの感染したサーバーに関する確認済みの報告はありません。

ワームは、RedHatバージョン6.2と7.0の3つのセキュリティ違反を使用しています。これらの違反は2000年夏の夏に発見されました。少なくとも3か月前に発見されました。

ワームには、FreeBSDやSuSEマシンを攻撃するルーチンも含まれていますが、これらのルーチンはワームコードでは有効にされず、使用されません。

ワーム自体

これは、全長約300Kの26個のファイルからなるマルチコンポーネントワームです。これらのファイルは、スクリプトプログラムと実行可能ファイルです。スクリプトプログラムは、Linuxのコマンドシェル（DOSのBATファイルやWindowsのCMDファイルなど）によって実行される ".sh"ファイルです。実行可能ファイルは標準のLinux ELF実行ファイルです。

ワームの主なコンポーネントは、ホストとして実行されるスクリプト ".sh"ファイルであり、残りのファイル（追加の ".sh"ファイルとELF実行ファイル）を実行して必要なアクションを実行します。

コンポーネントのリストは次のように表示されます。


 asp hackl.sh randb62 start62.sh wh.sh
 asp62 hackw.sh randb7 start7.sh wu62
 asp7 index.html s62 synscan62
 bd62.sh l62 s7 synscan7
 bd7.sh l7 scan.sh w62
 getip.sh lh.sh start.sh w7

"62"コンポーネントはRedHat 6.2システムでアクティブ化され、 "7"コンポーネントはRedHat 7.0でアクティブ化されます。 "wu62"ファイルはまったく使用されていません。

広がる

拡散（リモートLinuxマシンへの感染）は、「バッファーオーバーラン」攻撃によって行われます。この攻撃は、攻撃対象のマシンに送信される特別なパケットとして実行されます。パケットには、特別に準備されたデータブロックがあります。そのパケットデータブロックは、そのマシン上のコードとして実行されます。このコードは、感染マシンへの接続を開き、ワームのコードの残りの部分を取得し、それを有効にします。この時点で、マシンは感染し、さらにワームを広げ始めます。

このワームは、machine-to-machineから、 "ramen.tgz"という名前の "tgz"アーカイブ（標準のUNIXアーカイブ）として転送され、26のワームコンポーネントが内部に格納されます。ワームは、新しいマシンに感染している間にパッケージを解凍し、メインの "start.sh"ファイルを実行し、その後、他のワームコンポーネントを起動します。

ワームのコンポーネントは、グローバルネットワーク上の他のLinuxマシンをスキャンし、「バッファオーバーラン」攻撃が成功した場合にワームをアップロードします。

ワームはまた、起動する ".sh"ファイルを "/etc/rc.d/rc.sysinit"ファイルに実行するコマンドを追加します。その結果、ワームのコンポーネントは、システムが起動するたびに起動されます。

ワームは、システムに感染するために使用されたセキュリティ違反もクローズします。したがって、感染したマシンはこのワームによって2度攻撃されることはありません。

詳細

ワームは、リモートマシンを攻撃するためにリモートマシンのIPアドレスを取得するために、使用可能なグローバルネットワーク上でIPアドレスをスキャンします。すなわち、標準的な「スニッファ」ユーティリティと同様に動作する。

ワームは、リモートシステムを攻撃するために、RedHat Linuxの3つの悪魔である "statd"、 "lpd"、 "wu-ftp"のセキュリティ脆弱性を利用しています。

ワームの "バッファーオーバーラン"コードには、リモートマシン上でそのコピーをアップロードしてアクティブ化するための命令が含まれています。 "root"特権に切り替え、コマンドシェルを実行し、

ワーム "tgz"ファイルをダウンロードするディレクトリを作成し、ディレクトリ名は "/usr/src/.poop"
次のステップに必要な「TERM = vt100」変数をエクスポートします。
ホストマシン（ワームが広がっているマシン）からワーム "tgz"ファイルをダウンロードする "lynx"（単にWWWブラウザ）を実行します。
すべてのワームコンポーネントを "tgz"アーカイブから解凍する
ワームの起動コンポーネントを実行する： "start.sh"ファイル

"ramen.tgz"アーカイブを送信するために、ワームはワームの "tgz"アーカイブをワーム "バッファオーバーラン"コンポーネントからの要求によって送信する追加のサーバー "asp"を実行します。

その他

ワームには複数のペイロードとその他の非感染ルーチンがあります。

まず、ルートディレクトリからローカルマシン上のすべての "index.html"ファイル（Webサーバーの開始ページ）を見つけ、次のテキストを含む独自の "index.html"ファイルに置き換えます。

RameN Crewハッカーたちlooooooooooooooooove noodles。<sup> TM </ sup>

ワームは "/etc/hosts.deny"ファイルを削除します。このファイルには、このシステムへのアクセスが拒否されたホスト（アドレスおよび/またはインターネット名）のリストが含まれています（いわゆるTCPラッパーが使用されている場合）。その結果、制限されたマシンのいずれかが影響を受けるシステムにアクセスできます。

新しいシステムが感染すると、ワームは3つの電子メールアドレスに「通知」メッセージを送信します。

感染したマシンのアドレス
gb31337@hotmail.com
gb31337@yahoo.com

Subjectは感染したマシンのIPアドレスです。メッセージ本文には次のテキストが含まれています：

あなたのラーメンを食べる！

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Net-Worm
プラットフォーム	Linux
説明	技術的な詳細これは、RedHat Linuxシステムに感染する最初の既知のワームです。このワームは、2001年1月中旬に発見されました。ワームは、リモートシステムへのアップロードと短いファイルの実行を可能にするRedHatセキュリティ違反（いわゆる "バッファオーバーラン"違反）を使用して、システムからシステムへと広がります。そこでコードを実行して、メインワームコンポーネントをダウンロードしてアクティブ化します。このワームはVirusLabでテストされていませんので、以下のすべての情報は「ワームが本当にうまくいくかどうか」と読んでください。また、お客様からの感染したサーバーに関する確認済みの報告はありません。ワームは、RedHatバージョン6.2と7.0の3つのセキュリティ違反を使用しています。これらの違反は2000年夏の夏に発見されました。少なくとも3か月前に発見されました。ワームには、FreeBSDやSuSEマシンを攻撃するルーチンも含まれていますが、これらのルーチンはワームコードでは有効にされず、使用されません。ワーム自体これは、全長約300Kの26個のファイルからなるマルチコンポーネントワームです。これらのファイルは、スクリプトプログラムと実行可能ファイルです。スクリプトプログラムは、Linuxのコマンドシェル（DOSのBATファイルやWindowsのCMDファイルなど）によって実行される ".sh"ファイルです。実行可能ファイルは標準のLinux ELF実行ファイルです。ワームの主なコンポーネントは、ホストとして実行されるスクリプト ".sh"ファイルであり、残りのファイル（追加の ".sh"ファイルとELF実行ファイル）を実行して必要なアクションを実行します。コンポーネントのリストは次のように表示されます。 asp hackl.sh randb62 start62.sh wh.sh asp62 hackw.sh randb7 start7.sh wu62 asp7 index.html s62 synscan62 bd62.sh l62 s7 synscan7 bd7.sh l7 scan.sh w62 getip.sh lh.sh start.sh w7 "62"コンポーネントはRedHat 6.2システムでアクティブ化され、 "7"コンポーネントはRedHat 7.0でアクティブ化されます。 "wu62"ファイルはまったく使用されていません。広がる拡散（リモートLinuxマシンへの感染）は、「バッファーオーバーラン」攻撃によって行われます。この攻撃は、攻撃対象のマシンに送信される特別なパケットとして実行されます。パケットには、特別に準備されたデータブロックがあります。そのパケットデータブロックは、そのマシン上のコードとして実行されます。このコードは、感染マシンへの接続を開き、ワームのコードの残りの部分を取得し、それを有効にします。この時点で、マシンは感染し、さらにワームを広げ始めます。このワームは、machine-to-machineから、 "ramen.tgz"という名前の "tgz"アーカイブ（標準のUNIXアーカイブ）として転送され、26のワームコンポーネントが内部に格納されます。ワームは、新しいマシンに感染している間にパッケージを解凍し、メインの "start.sh"ファイルを実行し、その後、他のワームコンポーネントを起動します。ワームのコンポーネントは、グローバルネットワーク上の他のLinuxマシンをスキャンし、「バッファオーバーラン」攻撃が成功した場合にワームをアップロードします。ワームはまた、起動する ".sh"ファイルを "/etc/rc.d/rc.sysinit"ファイルに実行するコマンドを追加します。その結果、ワームのコンポーネントは、システムが起動するたびに起動されます。ワームは、システムに感染するために使用されたセキュリティ違反もクローズします。したがって、感染したマシンはこのワームによって2度攻撃されることはありません。詳細ワームは、リモートマシンを攻撃するためにリモートマシンのIPアドレスを取得するために、使用可能なグローバルネットワーク上でIPアドレスをスキャンします。すなわち、標準的な「スニッファ」ユーティリティと同様に動作する。ワームは、リモートシステムを攻撃するために、RedHat Linuxの3つの悪魔である "statd"、 "lpd"、 "wu-ftp"のセキュリティ脆弱性を利用しています。ワームの "バッファーオーバーラン"コードには、リモートマシン上でそのコピーをアップロードしてアクティブ化するための命令が含まれています。 "root"特権に切り替え、コマンドシェルを実行し、ワーム "tgz"ファイルをダウンロードするディレクトリを作成し、ディレクトリ名は "/usr/src/.poop" 次のステップに必要な「TERM = vt100」変数をエクスポートします。ホストマシン（ワームが広がっているマシン）からワーム "tgz"ファイルをダウンロードする "lynx"（単にWWWブラウザ）を実行します。すべてのワームコンポーネントを "tgz"アーカイブから解凍するワームの起動コンポーネントを実行する： "start.sh"ファイル "ramen.tgz"アーカイブを送信するために、ワームはワームの "tgz"アーカイブをワーム "バッファオーバーラン"コンポーネントからの要求によって送信する追加のサーバー "asp"を実行します。その他ワームには複数のペイロードとその他の非感染ルーチンがあります。まず、ルートディレクトリからローカルマシン上のすべての "index.html"ファイル（Webサーバーの開始ページ）を見つけ、次のテキストを含む独自の "index.html"ファイルに置き換えます。ワームは "/etc/hosts.deny"ファイルを削除します。このファイルには、このシステムへのアクセスが拒否されたホスト（アドレスおよび/またはインターネット名）のリストが含まれています（いわゆるTCPラッパーが使用されている場合）。その結果、制限されたマシンのいずれかが影響を受けるシステムにアクセスできます。新しいシステムが感染すると、ワームは3つの電子メールアドレスに「通知」メッセージを送信します。感染したマシンのアドレス gb31337@hotmail.com gb31337@yahoo.com Subjectは感染したマシンのIPアドレスです。メッセージ本文には次のテキストが含まれています：あなたのラーメンを食べる！
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Net-Worm.Linux.Ramen

技術的な詳細

ワーム自体

広がる

詳細

その他