Cambridge, Vereinigtes Koenigreich, 19. Januar 2001 - Kaspersky Lab, eine internationale Software-Firma im Bereich der Datensicherheit warnt vor einem neuen Internet-Wurm, der Computer unter Red Hat Linux angreift.

Wie wir das letzte Mal bei der Beschreibung von "Davinia"-Worm am 16. Januar erwähnt haben, zeichnet sich zur Zeit ein Trend bei der Entwicklung des böswilligen Codes ab. Die Virenschreiber verwenden immer häufiger Sicherheitslöcher verschiedener Plattformen und Anwendungen. Der vor kurzem entdeckte Wurm "Ramen" verdeutlichte noch einmal diese Entwicklung. Diesmal ist Linux zum Opfer geworden, obwohl dieses Betriebssystem heute als eine der sichersten Plattformen gilt.

Um in Computer unter Red Hat Linux 6.2 oder 7.0 einzudringen, verwendet "Ramen" drei Sicherheitslöcher : "in.ftpd", "rpc.statd" und "LPRng", die im Juni-September 2000 entdeckt und entsprechend "geflickt" wurden. Alle dieser Breschen sind von der "Buffer Overflow"-Kategorie, sie erlauben einem böswilligen Code, einen ausführbaren Code an ein entferntes System ohne Aktionen von Benutzern zu schicken. Die Arbeitsweise des Wurmes ist sehr ausgefeilt: erstens erhält der Empfängercomputer Daten, die den systeminternen Buffer so überfluten, dass der Wurmcode die Rootprivilegien erhält und den Kommandoprozessor startet, der die Wurmanweisungen ausführt. Danach erstellt "Ramen" den Ordner "/usr/src/.poop" , startet den "lynx"-Internetbrowser, und lädt dahin das Wurmarchiv "RAMEN.TGZ" von einem entfernten Computer. Anschließend öffnet "Ramen" das Archiv und führt seine Hauptdatei "START.SH" aus. Der Wurm hat keine andere Schadfunktion, abgesehen von der Änderung des Inhalts der Dateu "INDEX.HTML", die sich in diesem System befindet. Werden die betroffenen HTML-Dateien ausgeführt, erscheint eine folgende Meldung:

"Es ist wichtig, darauf hinzuweisen, dass die von dem Wurm verwendeten Breschen auch auf den anderen Linux-Distributionen vorhanden sind, wie beispielsweise Caldera OpenLinux, Connectiva Linux, Debian Linux, HP-UX, Slackware Linux und anderen. Dieser Wurm wird aktiv nur auf Systemen, die unter Read Hat Linux arbeiten. Es ist jedoch möglich, dass wir in der Zukunft andere Modifikationen dieses Wurmes für andere Linux-Plattformen sehen werden," so Denis Zenkin, Chef des Informationsdienstes bei Kaspersky Lab. "Deswegen empfehlen wir eine umgehende Installation von Patches für die Sicherheitslücken, unabhängig davon, welche Linux-Distribution Sie verwenden," so Zenkin weiter.

Nähere Informationen zum Internetwurm "Ramen" können Sie finden in der Kasperskys Virus-Enzyklopädie (www.viruslist.com).

Obwohl Kaspersky Lab keine Meldungen über das Auftauchen dieses Virus in der freien Wildbahn vorliegen, empfehlen wir PC-Benutzern, download die Antiviren-Datenbank für Kaspersky Anti-Virus (AVP) durch eine Signatur mit dem Schutz gegen "Ramen" zu aktualisieren.

Kaspersky Anti-Virus ist sowohl beim Kaspersky Lab Online-Shop als auch über ein weltweites Netz von Distributoren und Wiederverkäufern erhältlich.