ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Net-Worm.Linux.Ramen

Clase Net-Worm
Plataforma Linux
Descripción

Detalles técnicos

Este es el primer gusano conocido que infecta los sistemas RedHat Linux. El gusano fue descubierto a mediados de enero de 2001. El gusano se propaga de un sistema a otro mediante el uso de una brecha de seguridad de RedHat (una violación conocida como "desbordamiento de búfer") que permite cargar a un sistema remoto y ejecutar una pequeña pieza de código allí que luego descarga y activa el componente principal del gusano.

El gusano no se ha probado en VirusLab, por lo que toda la información siguiente debe leerse como "el gusano podría funcionar, si realmente funciona". Tampoco tenemos informes confirmados sobre servidores infectados de nuestros clientes.

El gusano usa tres brechas de seguridad en las versiones 6.2 y 7.0 de RedHat, estas brechas fueron descubiertas en el verano-otoño de 2000, al menos tres meses antes de que se descubriera el gusano.

El gusano también contiene rutinas que pretenden atacar FreeBSD y máquinas SuSE, pero estas rutinas no se activan ni se usan en el código del gusano.

El gusano en sí

Este es un gusano multicomponente que consta de 26 archivos de aproximadamente 300K de longitud total. Estos archivos son programas de script y archivos ejecutables. Los programas de script son archivos ".sh" que se ejecutan mediante un shell de comandos de Linux (como archivos DOS BAT y Windows CMD). Los archivos ejecutables son ejecutables ELF de Linux estándar.

Los principales componentes del gusano son archivos de script ".sh" que se ejecutan como hosts, y luego ejecutan el resto de los archivos (archivos ".sh" adicionales y ejecutables ELF) para realizar las acciones necesarias.

La lista de componentes aparece de la siguiente manera:


 asp hackl.sh randb62 start62.sh wh.sh
 asp62 hackw.sh randb7 start7.sh wu62
 asp7 index.html s62 synscan62
 bd62.sh l62 s7 synscan7
 bd7.sh l7 scan.sh w62
 getip.sh lh.sh start.sh w7
 

Los componentes "62" se activan en los sistemas RedHat 6.2, los componentes "7" se activan en RedHat 7.0. El archivo "wu62" no se usa en absoluto.

Extensión

La dispersión (infección de una máquina Linux remota) se realiza mediante un ataque de "desbordamiento de búfer". Este ataque se realiza como un paquete especial que se envía a una máquina atacada. El paquete tiene un bloque de datos especialmente preparados. Ese bloque de datos de paquetes se ejecuta luego como un código en esa máquina. Este código abre una conexión a una máquina infectada, obtiene el resto del código del gusano y lo activa. En este momento, la máquina está infectada y comienza a diseminar más al gusano.

El gusano se transfiere de máquina a máquina como un archivo "tgz" (archivo UNIX estándar) con un nombre "ramen.tgz", con 26 componentes de gusano dentro. Al infectar una máquina nueva, el gusano desempaqueta el paquete y ejecuta el archivo principal "start.sh" que luego activa otros componentes del gusano.

Los componentes del gusano exploran la red global en busca de otras máquinas Linux y cargan el gusano allí si el ataque de "desbordamiento del búfer" se realiza con éxito.

El gusano también agrega un comando para ejecutar su archivo ".sh" inicial en un archivo "/etc/rc.d/rc.sysinit", y como resultado, los componentes del gusano se activan cada vez que se inicia el sistema.

El gusano también cierra las brechas de seguridad que se han utilizado para infectar el sistema. Entonces, una máquina infectada no puede ser atacada por el gusano dos veces.

Detalles

Para obtener direcciones IP de máquinas remotas con el fin de atacarlas, el gusano escanea la red global disponible para direcciones IP; es decir, opera de manera similar a las utilidades estándar "sniffer".

Para atacar un sistema remoto, el gusano utiliza vulnerabilidades de seguridad en tres demonios de RedHat Linux: "statd", "lpd" y "wu-ftp".

Para cargar y activar su copia en una máquina remota, el código "desbordamiento del búfer" del gusano contiene instrucciones que cambian a privilegios "raíz", ejecuta un shell de comandos y sigue los siguientes comandos:

  • crea un directorio para descargar el archivo "tgz" del gusano, el nombre del directorio es "/usr/src/.poop"
  • exporta una variable "TERM = vt100" que es necesaria para el siguiente paso
  • ejecuta "lynx" (simplemente navegador WWW) que descarga un archivo "tgz" de gusanos desde una máquina host (la máquina desde la cual se propaga el gusano)
  • descomprime todos los componentes del gusano de un archivo "tgz"
  • ejecuta el componente de inicio del gusano: el archivo "start.sh"

Para enviar un archivo "ramen.tgz", el gusano ejecuta un servidor "asp" adicional que envía el archivo "tgz" del gusano a petición de un componente "desbordamiento del búfer".

Misc.

El gusano tiene varias cargas útiles y otras rutinas no infecciosas.

En primer lugar, encuentra todos los archivos "index.html" (las páginas iniciales de un servidor web) en una máquina local a partir del directorio raíz y los reemplaza con su propio archivo "index.html" que contiene el siguiente texto:

RameN Crew Hackers looooooooooooooooove fideos. <Sup> TM </ sup>

El gusano borra el archivo "/etc/hosts.deny". Este archivo contiene una lista de hosts (direcciones y / o nombres de Internet) a los que se les ha denegado el acceso a este sistema (en caso de que se use el llamado TCP wrapper). Como resultado, cualquiera de las máquinas restringidas puede acceder a un sistema afectado.

Cuando se infecta un nuevo sistema, el gusano envía mensajes de "notificación" a tres direcciones de correo electrónico:

  1. la dirección de solo la máquina infectada
  2. gb31337@hotmail.com
  3. gb31337@yahoo.com

El mensaje Asunto es la dirección IP de la máquina infectada, el cuerpo del mensaje contiene el texto:

Come tu ramen!


Enlace al original