Антивирусная "Лаборатория Касперского" сообщила в пятницу об обнаружении нового интернет-червя Ramen, атакующего компьютеры с операционной системой Red Hat Linux. Он заменяет лицевые веб-страницы с именем "index.html".
Обычно сочинители вирусов не трогают Linux. Традиционным объектом их творчества являются платформы Windows с их неисчислимыми дырами. Сказывается также общая нелюбовь к Microsoft.
Ramen можно считать первым "удачным" экспериментом вирусописателей нетрадиционной ориентации. Правда, антивирусная лаборатория пока не получила ни одного подтвержденного сообщения о зараженных компьютерах. Новый червь в диком виде не тестировался, и исследование носило теоретический характер. Однако процедуры защиты от этого интернет-червя уже внесены базу "Антивируса Касперского".
Ramen заражает удаленные компьютеры с операционной системой Linux Red Hat 6.2 или 7.0 при помощи дыры (бывают дыры и в Linux), называющейся "переполнением буфера". Эта дыра была обнаружена и закрыта в период июнь-сентябрь 2000 года. Она позволяет засылать исполняемый код на удаленный компьютер и выполнять его там без вмешательства администратора (пользователя). Используя дыру, червь засылает на удаленные компьютеры короткий кусок своего кода, выполняет его там, докачивает свой основной код и стартует его.
Червь состоит из 26 компонент общим объемом около 300 Кб. Половина этих файлов является скриптами на командном языке UNIX, остальные - выполняемые файлы Linux. Ramen передается с машины на машину в виде архивного файла с именем "ramen.tgz". При заражении машины архив передается на нее, распаковывается и запускается главный файл червя.
На зараженном компьютере вредоносная программа заменяет все файлы с именем "index.html" на один собственный с тем же именем. Новая страница озаглавлена как "RameN Crew" и содержит надпись: "Hackers loo-oove noodles". Что в зависимости от интерпретации слова "noodles" можно перевести как - "Хакеры любят лапшу" (упаковка изображена под надписью) или "Хакеры любят олухов". Видимо такой ассоциативный ряд и подразумевался авторами.
Червь также вакцинирует машину от повторных атак, закрывая дыру в защите Linux Red Hat. "Лаборатории Касперского" рекомендует как можно быстрее установить соответствующие заплатки для Linux - до того, как это сделает вирус. Это касается всех клонов операционной системы. Хотя Ramen нацелен специально на Red Hat Linux, в будущем не исключено появление других похожих интернет-червей, которые будут работоспособны и на других платформах этого семейства.