https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Ramen_%28Computerwurm%29Ramen (Computerwurm) - Versionsgeschichte2026-06-04T04:34:27ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Ramen_(Computerwurm)&diff=1854911&oldid=previmported>Aka: Tippfehler entfernt2025-04-12T13:17:15Z<p><a href="/index.php?title=Benutzer:Aka/Tippfehler_entfernt&action=edit&redlink=1" class="new" title="Benutzer:Aka/Tippfehler entfernt (Seite nicht vorhanden)">Tippfehler entfernt</a></p>
<p><b>Neue Seite</b></p><div>{{Infobox Computerwurm<br />
| Name = Ramen<br />
| Aliase = Linux.Ramen, Unix/Ramen<br />
| Veröffentlichung = [[2001]]<br />
| Herkunft = <br />
| Typ = Netzwerkwurm<br />
| Subtyp = Nematode<br />
| Autoren = Gruppe: „RameN Crew“<br />
| Dateigröße = <br />
| Speicherresident = ja <br />
| Verbreitung = [[Exploit]], [[File Transfer Protocol|FTP]]<br />
| System = [[Red Hat Linux]]&nbsp;6.2 und 7.0<br />
| Programmiersprache = <br />
| Info = <br />
}}<br />
Der [[Computerwurm]] '''Ramen''' war im Januar 2001 [[In the wild|in unkontrolliertem Umlauf]].<br />
<br />
Ramen ist ein destruktiver Wurm und konnte auf ungeschützten Systemen Dateien vernichten. Das [[Computer Emergency Response Team]] gab eine Warnung heraus.<ref>[http://www.cert.org/incident_notes/IN-2001-01.html cert.org] ''CERT Incident Note IN-2001-01'' (englisch)</ref> Er befiel ausschließlich die Versionen 6.2 und 7.0 von [[Red Hat Linux]] und nutzte dabei eine bereits bekannte Sicherheitslücke aus.<ref>[https://encyclopedia.kaspersky.de/knowledge/how-malware-penetrates-systems kaspersky.de] Wie Schadprogramme ins System eindringen</ref> Seinen Namen erhielt er, weil er auf infizierten Systemen HTML-Seiten mit dem Bild einer Packung asiatischer [[Instantsuppe|Instant-Nudelsuppe]], sogenannte [[Ramen]], anlegte.<ref name = "pcwelt">[https://www.pcwelt.de/news/Linux-Wurm-greift-um-sich-494006.html pcwelt.de] Linux-Wurm greift um sich</ref><br />
<br />
Später wurden noch weitere, modifizierte Versionen des Wurms bekannt. In der Presse wurde Ramen teilweise inkorrekt als [[Computervirus]] bezeichnet.<br />
<br />
== Funktion ==<br />
=== Ausbreitung ===<br />
Der Wurm suchte auf Red-Hat-Systemen der Version 6.2 nach verwundbaren Versionen der Dienste <code>rpc.statd</code> und <code>[[wu-ftpd]]</code>. Auf Version 7.0 des Systems suchte er nach verwundbaren Versionen des Druck-Dienstes LPRng. Alle drei Dienste wiesen die gleiche Format-String-Verwundbarkeit auf.<ref name = "pcwelt"/><ref>{{cite web | url=http://www.sans.org/security-resources/malwarefaq/LPRng.php | title=SANS: Malware FAQ: LPRng Format String Vulnerability and related exploits | language=en | accessdate=2010-02-08 | publisher=The SANS Institute | archiveurl=https://web.archive.org/web/20100527160206/http://www.sans.org/security-resources/malwarefaq/LPRng.php | archivedate=2010-05-27}}</ref><br />
<br />
Auf befallenen Systemen wurde ein rudimentärer [[Hypertext Transfer Protocol|HTTP]]-Server gestartet und an Port 27374 gebunden.<br />
Anschließend erzeugte der Wurm zufällig Klasse-B-IP-Adressen und versuchte, eine Verbindung auf Port 21 ([[File Transfer Protocol|FTP]]) aufzubauen. Unter Nutzung einer angepassten Version der Software ''syscan'' prüfte er anhand des FTP-Banners, ob auf dem Zielsystem die Linux-Distribution Red Hat in der Version 6.2 oder 7.0 lief. Wenn dies der Fall war, versuchte der Wurm, das Zielsystem zu infizieren.<br />
<br />
=== Exploit ===<br />
Bei den ausgenutzten Sicherheitslücken handelte es sich um bekannte Probleme, die in aktualisierten Versionen der entsprechenden Pakete korrigiert waren. Systeme, auf denen alle Sicherheitsaktualisierungen installiert waren, waren daher nicht anfällig für den Wurm. Der Ramen-Wurm besteht im Wesentlichen aus Programmcode, der zu Demonstrationszwecken der Sicherheitslücken geschrieben wurde. Der Code wurde dann zu Malware zusammengefügt. Da der Wurm Besonderheiten von Red Hat ausnutzt, konnte er auch nur Red Hat, aber keine SuSE-Installationen, infizieren. Der Quellcode von Ramen enthielt allerdings auch Routinen, um [[SuSE Linux]] und [[FreeBSD]] zu infizieren. Diese Teile des Schadprogramms wurden aus unbekannten Gründen nicht genutzt.<br />
<br />
Mittlerweile werden anfällige System wohl kaum mehr betrieben.<ref name = "pcwelt"/><br />
<br />
=== Payload ===<br />
Sobald ein Rechner infiziert war, wurde die Sicherheitslücke (durch die der Wurm eindringen konnte) geschlossen. Auf diese Art wollte der Entwickler den Ramen-Wurm vermutlich vor [[Computerwurm#Nematoden|Nematoden]] und unliebsamer Konkurrenz schützen (verhielt sich diesbezüglich aber auch selbst wie ein Nematode). Anschließend wurde automatisch ein [[Rootkit]] installiert, um die Aktivitäten des Wurms zu verbergen. Die Identität des Systems wurde daraufhin an eine [[E-Mail]]-Adresse geschickt, die in den [[Quellcode]] des Wurms eingebaut war.<br />
Der Ramen-Wurm ersetzte alle HTML-Dateien namens „index.html“ durch eine veränderte Version, die folgenden Inhalt hatte:<br />
<br />
<big>'''RameN Crew'''</big><br />
&nbsp;<br />
Hackers looooooooooooooooove noodles.™<br />
&nbsp;<br />
'''This site powered by'''<br />
<br />
Übersetzung: „''RameN-Gruppe – Hacker liiiiiiiiiiiiiiieben Nudeln.™ – Diese Seite wird unterstützt von''“<br />
<br />
<br />
Darunter war das Bild einer Packung „Top Ramen Oriental“ der Firma ''Nissin Foods'' eingebunden.<br />
<br />
Das Bild stammte von der Webseite des Herstellers und hatte damals die Internetadresse <code><nowiki>www.nissinfoods.com/tr_oriental.jpg</nowiki></code>. Mittlerweile ist das Bild unter dieser Adresse nicht mehr verfügbar. Man kann aber eine archivierte Version in der [[Internet Archive|Wayback Machine]] einsehen.<ref>[https://web.archive.org/web/20001002190347if_/http://www.nissinfoods.com:80/tr_oriental.jpg nissinfoods.com] ''Top Ramen Oriental'' (Archivierte Version)</ref><br />
<br />
== Entfernung ==<br />
Mittlerweile dürften anfällige Betriebssysteme kaum mehr angewendet werden.<br />
<br />
Befallene Systeme ließen sich einfach bereinigen und schützen:<ref>{{cite web | url=http://www.iss.net/threats/advise71.html | title=advise71 | language=en | accessdate=2010-02-08 | publisher=Internet Security Systems, Inc. | archiveurl=https://web.archive.org/web/20101116180409/http://www.iss.net/threats/advise71.html | archivedate=2010-11-16}}</ref><br />
<br />
* Deaktivieren der potenziell verwundbaren Dienste<br />
* Löschen der Dateien /usr/src/.poop und /sbin/asp<br />
* Löschen aller Referenzen aus /etc/rc.d/rc.sysinit und /etc/inetd.conf auf die Dateien /etc/src/.poop. und /sbin/asp<br />
* Einspielen von [[Patch (Software)|Patches]] für die betroffenen Dienste<br />
* Neustart des Systems<br />
<br />
== Siehe auch ==<br />
* [[Liste von Linux-Malware]]<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
== Weblinks ==<br />
* [https://threats.kaspersky.com/de/threat/Net-Worm.Linux.Ramen kaspersky.com] Datenbankeintrag zum Ramen-Wurm<br />
* [http://virus.wikidot.com/ramen virus.wikidot.com] Fachwiki-Eintrag zum Ramen-Wurm<br />
* [https://www.giac.org/paper/gsec/505/ramen-linux-worm/101193 giac.org] ''Global Information Assurance Certification Paper'' about ''Ramen Worm'' (PDF-Download)<br />
* [https://www.heise.de/newsticker/meldung/Linux-Wurm-verbreitet-sich-offensichtlich-rasant-31363.html heise.de] ''Linux-Wurm verbreitet sich offensichtlich rasant''<br />
* [http://linuxdevcenter.com/pub/a/linux/2001/01/22/insecurities.html linuxdevcenter.com] ''Ramen Worm Attacks Red Hat Linux Machines'' (englisch)<br />
<br />
<br />
<br />
[[Kategorie:Linux-Malware]]<br />
[[Kategorie:Schadprogramm]]<br />
[[Kategorie:Computerwurm]]</div>imported>Aka