[Précédent (date)] [Suivant (date)] [Précédent (sujet)] [Suivant (sujet)] [Index par date] [Index par sujet]

Un virus sous Linux!

To:
Subject: Un virus sous Linux!
From: Lucien Carrier <>
Date: Sat, 27 Jan 2001 13:58:12 -0500
Delivered-To: [email protected]
Delivered-To: [email protected]
Newsgroups: qc.comp.os.linux.general
Reply-To: @videotron.ca
Sender:

Bonjoir,

Je viens de recevoir un courriel d'un copain m'informant l'existance
d'un ver (RAMEN) s'attaquant à certains scripts. Voici le texte envoyé:

==================================================================================
Ramen: nouille ou ver, même goût douteux 

   ( 18 janvier 2001 ) – La rapide propagation d'un ver informatique
connu selon l'appellation «Ramen», en raison de références à ce plat de
nouilles, rappelle une fois de plus aux administrateurs de serveurs
Linux qu'ils ne sont pas à l'abri des attaques et que les mises à jour
de logiciels ne sont pas pour les chats... 

Cette fois, c'est à Linux plutôt qu'à Windows que s'en sont pris
certains script kiddies en créant le ver «Ramen», qui s'attaque aux
serveurs fonctionnant grâce aux distributions Red Hat 6.2 et 7. Pour ce
faire, le ver exploite des trous de sécurité déjà connus et corrigés
depuis plusieurs mois dans deux logiciels inclus dans les installations
par défaut des versions de Red Hat concernées. 

Ces deux logiciels ou services sont rpc.statd (6.2) et wu-FTP (7). Les
trous de sécurité qui y ont été découverts au cours de l'été 2000
permettent tous deux d'exécuter certaines commandes sur le serveur en
disposant de toutes les permissions (root). C'est en modifiant
légèrement et en assemblant quelques outils déjà connus que «Ramen» a
été créé. 

Le virus se propage très rapidement parce qu'il ne nécessite aucune
intervention humaine. Lorsqu'il déniche un serveur vulnérable, «Ramen»
exploite les failles citées plus haut pour remplacer toutes les pages
nommées «index.html» sur le serveur Web, dont la page d'accueil. Les
nouvelles pages portent la signature des auteurs du ver et la photo d'un
paquet de nouilles instantanées Ramen, d'où il tire son nom. Le ver
établit par la suite un serveur HTTP minimal sur le port 27374, le
préféré des chevaux de Troie sur Windows, pour partir à la recherche de
nouveaux serveurs vulnérables et se propager. Finalement, il envoie un
courriel à deux adresses, l'une chez Hotmail et l'autre chez Yahoo!, et
supprime les deux services vulnérables. Outre ces actions, «Ramen» cause
un autre désagrément en s'accaparant de la bande passante. 

Étant donné l'ancienneté des failles exploitées par le virus, les mises
à jour permettant de prévenir l'infection sont déjà disponibles en ligne
depuis plusieurs mois. Celle immunisant la distribution 6.2 a été mise
en ligne au mois de juillet dernier, tandis que celle destinée à la
version 7 est disponible depuis le mois de juin. 
==================================================================================

Prochaine,

Lucien

Précédent en ordre: Re: linux
Suivant en ordre: Petition Alcatel
Précédent par sujet: Petition Alcatel
Suivant par sujet: Subsidies, Grants, Loans, Financing
Les index:
- par date
- par sujet