本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Net-Worm.Linux.Ramen

クラス Net-Worm
プラットフォーム Linux
説明

技術的な詳細

これは、RedHat Linuxシステムに感染する最初の既知のワームです。このワームは、2001年1月中旬に発見されました。ワームは、リモートシステムへのアップロードと短いファイルの実行を可能にするRedHatセキュリティ違反(いわゆる "バッファオーバーラン"違反)を使用して、システムからシステムへと広がります。そこでコードを実行して、メインワームコンポーネントをダウンロードしてアクティブ化します。

このワームはVirusLabでテストされていませんので、以下のすべての情報は「ワームが本当にうまくいくかどうか」と読んでください。また、お客様からの感染したサーバーに関する確認済みの報告はありません。

ワームは、RedHatバージョン6.2と7.0の3つのセキュリティ違反を使用しています。これらの違反は2000年夏の夏に発見されました。少なくとも3か月前に発見されました。

ワームには、FreeBSDやSuSEマシンを攻撃するルーチンも含まれていますが、これらのルーチンはワームコードでは有効にされず、使用されません。

ワーム自体

これは、全長約300Kの26個のファイルからなるマルチコンポーネントワームです。これらのファイルは、スクリプトプログラムと実行可能ファイルです。スクリプトプログラムは、Linuxのコマンドシェル(DOSのBATファイルやWindowsのCMDファイルなど)によって実行される ".sh"ファイルです。実行可能ファイルは標準のLinux ELF実行ファイルです。

ワームの主なコンポーネントは、ホストとして実行されるスクリプト ".sh"ファイルであり、残りのファイル(追加の ".sh"ファイルとELF実行ファイル)を実行して必要なアクションを実行します。

コンポーネントのリストは次のように表示されます。


 asp hackl.sh randb62 start62.sh wh.sh
 asp62 hackw.sh randb7 start7.sh wu62
 asp7 index.html s62 synscan62
 bd62.sh l62 s7 synscan7
 bd7.sh l7 scan.sh w62
 getip.sh lh.sh start.sh w7
 

"62"コンポーネントはRedHat 6.2システムでアクティブ化され、 "7"コンポーネントはRedHat 7.0でアクティブ化されます。 "wu62"ファイルはまったく使用されていません。

広がる

拡散(リモートLinuxマシンへの感染)は、「バッファーオーバーラン」攻撃によって行われます。この攻撃は、攻撃対象のマシンに送信される特別なパケットとして実行されます。パケットには、特別に準備されたデータブロックがあります。そのパケットデータブロックは、そのマシン上のコードとして実行されます。このコードは、感染マシンへの接続を開き、ワームのコードの残りの部分を取得し、それを有効にします。この時点で、マシンは感染し、さらにワームを広げ始めます。

このワームは、machine-to-machineから、 "ramen.tgz"という名前の "tgz"アーカイブ(標準のUNIXアーカイブ)として転送され、26のワームコンポーネントが内部に格納されます。ワームは、新しいマシンに感染している間にパッケージを解凍し、メインの "start.sh"ファイルを実行し、その後、他のワームコンポーネントを起動します。

ワームのコンポーネントは、グローバルネットワーク上の他のLinuxマシンをスキャンし、「バッファオーバーラン」攻撃が成功した場合にワームをアップロードします。

ワームはまた、起動する ".sh"ファイルを "/etc/rc.d/rc.sysinit"ファイルに実行するコマンドを追加します。その結果、ワームのコンポーネントは、システムが起動するたびに起動されます。

ワームは、システムに感染するために使用されたセキュリティ違反もクローズします。したがって、感染したマシンはこのワームによって2度攻撃されることはありません。

詳細

ワームは、リモートマシンを攻撃するためにリモートマシンのIPアドレスを取得するために、使用可能なグローバルネットワーク上でIPアドレスをスキャンします。すなわち、標準的な「スニッファ」ユーティリティと同様に動作する。

ワームは、リモートシステムを攻撃するために、RedHat Linuxの3つの悪魔である "statd"、 "lpd"、 "wu-ftp"のセキュリティ脆弱性を利用しています。

ワームの "バッファーオーバーラン"コードには、リモートマシン上でそのコピーをアップロードしてアクティブ化するための命令が含まれています。 "root"特権に切り替え、コマンドシェルを実行し、

  • ワーム "tgz"ファイルをダウンロードするディレクトリを作成し、ディレクトリ名は "/usr/src/.poop"
  • 次のステップに必要な「TERM = vt100」変数をエクスポートします。
  • ホストマシン(ワームが広がっているマシン)からワーム "tgz"ファイルをダウンロードする "lynx"(単にWWWブラウザ)を実行します。
  • すべてのワームコンポーネントを "tgz"アーカイブから解凍する
  • ワームの起動コンポーネントを実行する: "start.sh"ファイル

"ramen.tgz"アーカイブを送信するために、ワームはワームの "tgz"アーカイブをワーム "バッファオーバーラン"コンポーネントからの要求によって送信する追加のサーバー "asp"を実行します。

その他

ワームには複数のペイロードとその他の非感染ルーチンがあります。

まず、ルートディレクトリからローカルマシン上のすべての "index.html"ファイル(Webサーバーの開始ページ)を見つけ、次のテキストを含む独自の "index.html"ファイルに置き換えます。

RameN Crewハッカーたちlooooooooooooooooove noodles。<sup> TM </ sup>

ワームは "/etc/hosts.deny"ファイルを削除します。このファイルには、このシステムへのアクセスが拒否されたホスト(アドレスおよび/またはインターネット名)のリストが含まれています(いわゆるTCPラッパーが使用されている場合)。その結果、制限されたマシンのいずれかが影響を受けるシステムにアクセスできます。

新しいシステムが感染すると、ワームは3つの電子メールアドレスに「通知」メッセージを送信します。

  1. 感染したマシンのアドレス
  2. gb31337@hotmail.com
  3. gb31337@yahoo.com

Subjectは感染したマシンのIPアドレスです。メッセージ本文には次のテキストが含まれています:

あなたのラーメンを食べる!


オリジナルへのリンク