Архив

Ramen: первая успешная атака на Linux?

«Лаборатория Касперского» сообщает об обнаружении нового Интернет-червя «Ramen», атакующего компьютеры с установленной операционной системой Red Hat Linux.

Как указывалось в комментарии о черве «Davinia» от 17 января этого года, одной из современных тенденций в развитии вредоносных кодов является попытка вирусописателей использовать известные бреши в системах безопасности. Обнаруженный в середине января червь «Ramen» еще одно тому доказательство. На этот раз жертвой стала популярная операционная система Linux.

Для незаметного проникновения на компьютеры с операционной системой Linux Red Hat 6.2 или 7.0 «Ramen» использует набор брешей под названиями «in.ftpd», «rpc.statd» и «LPRng», обнаруженных и закрытых в период июнь-сентябрь 2000 г. Эти бреши позволяют засылать исполняемый код на удаленный компьютер и выполнять его там без вмешательства пользователя.
Процедура работы червя довольно замысловата. Сначала на компьютер засылается запрос, переполняющий внутренний буфер, так что код червя получает системные привилегии и запускает командный процессор, который выполняет последующие инструкции червя. Затем «Ramen» создает каталог «/usr/src/.poop», куда потом копирует архив червя «RAMEN.TGZ». После этого запускается Интернет-броузер «lynx», который загружает с удаленной машины «RAMEN.TGZ», разархивирует его и запускает основной файл «START.SH».
Червь не имеет каких-либо дополнительных деструктивных действий, кроме замены содержимого всех файлов с именем «INDEX.HTML» на следующее:


RameN Crew
  Hackers looooooooooooooooove noodles.<sup>TM</sup>«><br />
</center></p>
<p>
Важно отметить, что описанные выше бреши системы безопасности Linux также были найдены и во многих других дистрибутивах этой популярной операционной системы, таких как Caldera OpenLinux, Connectiva Linux, Debian Linux, HP-UX, Slackware Linux и других. «Ramen» нацелен специально на Red Hat Linux, однако в будущем не исключено появление других похожих Интернет-червей, которые будут работоспособны и на других платформах этого семейства. В этой связи мы рекомендуем пользователям как можно быстрее установить соответствующие «заплатки» для Linux».
</p>
<p>
На данный момент «Лаборатория Касперского» не получила ни одного сообщения об обнаружении «Ramen» в диком виде. Несмотря на это мы рекомендуем пользователям операционной системы Linux как можно скорее обновить антивирусную базу «Антивируса Касперского», которая уже содержит процедуры защиты от этого Интернет-червя.
</p>
<p>
Технические подробности о «Ramen» Вы можете узнать <a href=здесь .

Ramen: первая успешная атака на Linux?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике