Ramen: первая успешная атака на Linux?

«Лаборатория Касперского» сообщает об обнаружении нового Интернет-червя «Ramen», атакующего компьютеры с установленной операционной системой Red Hat Linux.

Как указывалось в комментарии о черве «Davinia» от 17 января этого года, одной из современных тенденций в развитии вредоносных кодов является попытка вирусописателей использовать известные бреши в системах безопасности. Обнаруженный в середине января червь «Ramen» еще одно тому доказательство. На этот раз жертвой стала популярная операционная система Linux.

Для незаметного проникновения на компьютеры с операционной системой Linux Red Hat 6.2 или 7.0 «Ramen» использует набор брешей под названиями «in.ftpd», «rpc.statd» и «LPRng», обнаруженных и закрытых в период июнь-сентябрь 2000 г. Эти бреши позволяют засылать исполняемый код на удаленный компьютер и выполнять его там без вмешательства пользователя.
Процедура работы червя довольно замысловата. Сначала на компьютер засылается запрос, переполняющий внутренний буфер, так что код червя получает системные привилегии и запускает командный процессор, который выполняет последующие инструкции червя. Затем «Ramen» создает каталог «/usr/src/.poop», куда потом копирует архив червя «RAMEN.TGZ». После этого запускается Интернет-броузер «lynx», который загружает с удаленной машины «RAMEN.TGZ», разархивирует его и запускает основной файл «START.SH».
Червь не имеет каких-либо дополнительных деструктивных действий, кроме замены содержимого всех файлов с именем «INDEX.HTML» на следующее:

здесь .