Neuer Linux-Wurm unterwegs

"Ramen" befällt nur Red Hat-Webserver und scannt das Internet mit rasender Geschwindigkeit nach weiteren verwundbaren Maschinen

Ein Internet-Wurm namens Ramen hat bereits mehrere Hundert Server mit Red Hat-Linux befallen. Der sich selbst replizierende Virus wurde offenbar von sogenannten Script-Kiddies aus den Versatzstücken allgemein verbreiteter Hacking-Tools zusammengeschustert. Experten hatten bereits im vergangenen Jahr die verstärkte Verbreitung von Linux-Würmern „in the wild“ für dieses Jahr angekündigt.

Ramen nutzt eine bereits bekannte Lücke der Distribution von Red Hat. Der Wurm richtet keinen offensichtlichen Schaden an, erscheint aber aufgrund der bei der Verbreitung verbrauchten Bandbreite gefährlich. Zudem kann noch niemand absehen, ob sich der gefährliche Code nicht ein schadenbringendes Update aus dem Internet holt. Mihai Moldovanu, der Netzwerk-Administrator des rumänischen Radio Profm Bukarest hat einen Großteil des Dienstag mit der Analyse des Wurms verbracht. „Sobald der Wurm anfängt nach weiteren verwundbaren Maschinen zu scannen, braucht er ein hohes Maß an Internet-Bandbreite.

Laut Aussage von Moldavanu scannte der Wurm zwei Klasse B-Netzwerke (etwa 130.000 Internet-Adressen) in weniger als 15 Minuten. Am Mittwoch Nachmittag verbreitete sich der Wurm weiter.

Der Wurm verschafft sich Zugang zu dem Rechner, indem er zwei seit einem halben Jahr bekannte Bugs ausnützt. Diese sind zwar auch in anderen Linux-Distributionen wie Suse, Mandrake und Caldera enthalten. Doch die Autoren beschränkten sich auf Red Hat Server. Laut Aussage der Marktanalysten Netcraft.com läuft auf 70 Prozent aller Linux-Webserver Red Hat.

Erlangt der Wurm Kontrolle über den Rechner, tauscht er die Startseite der Website mit einem Bild der „Ramen“-Nudelsuppen und dem Text „Hackers love noodels“ aus. Des weiteren installiert die Software ein so genanntes Root Kit, das die Sicherheitslücken behebt und ein spezielles Programm auf dem Rechner ausführt, das die üblichen Systemfunktionen ersetzt. Schlußendlich werden zwei Mails an zwei mittlerweile stillgelegte Mailaccounts, einer bei Hotmail, der andere bei Yahoo. Danach bootet der Wurm und scannt weiter das Internet.

Sicherheitsexperte Lance Spitzner findet den Wurm deshalb so bedenklich, weil er automatisiert bekannte Sicherheitslöcher ausnutzt. und die Geschwindigkeit, mit der das Netz gescannt wird, exponentiell steigt, je mehr Maschinen befallen sind.

Themenseiten: Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Neuer Linux-Wurm unterwegs

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *