| |
VSantivirus No. 1411 Año 8, lunes 17 de mayo de 2004
Linux/Ramen.B. Puede modificar servidores Web
http://www.vsantivirus.com/ramen-b.htm
Nombre: Linux/Ramen.B
Tipo: Gusano de Internet (Linux)
Alias: Linux.Ramen.b, Linux.Ramen.Worm.b, UNIX_RAMEN.B
Fecha: 16/may/04
Plataforma: Unix/Linux
Linux/Ramen.B es un gusano de Linux, que afecta computadoras con el sistema operativo Linux o Unix. No se ejecuta bajo Windows.
Si existe un servidor Web funcionando en el equipo infectado, su página principal puede ser reemplazada por un texto.
Luego de acceder a un sistema infectado, el gusano crea una copia de si mismo en el siguiente directorio:
/tmp/RAMEN.TGZ
El gusano se trata en realidad de una colección de scripts y utilidades de Linux.
Agrega una línea al archivo del sistema "/etc/rc.d/RC.SYSINIT" para habilitar la ejecución automática en cada reinicio del sistema.
También instala un servicio llamado ASP. Esto se lleva a cabo añadiendo una línea al archivo "/etc/INETD.CONF".
Cuando la copia descargada del gusano es ejecutada, el mismo se ejecuta en segundo plano y permanece activo hasta que la máquina es apagada o reiniciada.
El gusano genera al azar direcciones IP Clase B, y luego las examina a todas dentro de esos rangos para infectar otros sistemas. Es capaz de escanear Internet en forma muy rápida (más de 100,000 direcciones IP en menos de 15 minutos). Utiliza para ello grandes cantidades de ancho de banda.
El gusano borra el archivo "/etc/HOSTS.DENY". También reemplaza el contenido de todos los archivos INDEX.HTML que encuentre en el sistema infectado, por un código que muestra el siguiente texto cuando se intenta visualizar dicho archivo:
1i0n Crew
Powered by
C00l ====== H.U.C =====1i0n
Para eliminar el gusano, ejecute un antivirus actualizado para Linux, y borre los archivos afectados.
Reemplace los archivos INDEX.HTML modificados por el gusano.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
