製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:R
ウイルス情報
ウイルス名危険度
Linux/Ramen.worm
企業ユーザ:
個人ユーザ:
種別インターネット
最小定義ファイル
(最初に検出を確認したバージョン)
4117
対応定義ファイル
(現在必要とされるバージョン)
4352 (現在7593)
対応エンジン4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名Elf_Ramen (Trend), Linux.Ramen, Linux.Ramen.Worm (NAV), Worm.Linux.Ramen
情報掲載日01/01/25
発見日(米国日付)01/01/17
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/20RDN/Generic....
10/20FakeAV-M.bfr...
10/20FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る
  • これはLinuxサーバに特化したインターネットウイルスです。

  • このウイルスは複数の要素で構成されています。

  • このウイルスは、セキュリティホールのあるLinuxサーバに向けて、自分自身をコピーします。転送されるファイル名はramen.tgzです。

  • このウイルスがLinuxサーバに感染した場合、Indexページが以下のように書き換えられることがあります。

ウイルスの特徴TOPに戻る
  • このウイルスは、Linux脆弱点を悪用して、サーバのルートアクセスを取得します。ルートアクセスを得たウイルスは、自分自身を解凍し、さらにElfバイナリとシェルスクリプトを使って、インターネット内の次の感染先サーバを探します。

  • またWU-Ftpサーバの脆弱点も悪用されます。このサービスは、パッチを当てない限り、site execという機能を使った悪用の対象となってしまいます。Redhat6xでのパッチ対処についてはこちらをご覧ください。

  • またこのウイルスはRPCサーバ rpc.statdの脆弱点も悪用しています。このサービスは、パッチを当てないかぎり、syslog() を使ったルートアクセス獲得という形で、悪用される可能性があります。Redhat6xでのパッチ対処についてはこちらをご覧ください。

  • またRedhat7においてもシステム脆弱点が悪用されます。これはプリント・スプーラ・サービスLPRngを悪用するものです。このサービスにもsyslog()が含まれており、これによりルートアクセスが獲得される危険があります。 Redhat7のパッチについてはこちらをご覧ください。

  • このようにしてルートアクセスが獲得された場合、スクリプトやElfバイナリを使って、ウイルス繁殖活動を行うことが可能になります。特にsynscan62を使えば、外部インターネットの次の感染対象Redhat 6, 7 サーバを探すことが可能になってしまいます。

  • このウイルスには副作用があります。それはアクセスを悪用取得されたサービスを削除してしまうというものです。 これは重複感染や二重攻撃が発生するのを防ぎたいというウイルス側の意図によるものです。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

感染方法TOPへ戻る

駆除方法TOPへ戻る
  • /etc/rc.d/rc.sysinit を編集して、/usr/src/.poopからスクリプトを走らせるような参照箇所があれば、それを削除してください。/usr/src/.poopフォルダそのものを削除してもかまいません。

  • 同様にinetd.conf環境設定の中に不正な参照箇所が見つかれば、それも削除してください。

  • システムの再起動も強く推奨します。