米国時間1月18日,インターネットのセキュリティ組織であるCERT/CCやアンチウイルス・ベンダーなどは,「ラーメン(Ramen)」と呼ばれるワームを警告した。ワームとは,ネットワークを介して他のマシンへ自分自身をコピーして,自己増殖する不正なプログラムのこと。ウイルスの一種とみなす場合もある。ラーメン・ワームは,既知のセキュリティ・ホールを利用してマシンに侵入し,Webページの書き換えなどをするとともに,さらに他のマシンへの侵入を試みる。現在のところ,侵入の対象になるのは,セキュリティ・ホールがある「wu-ftpd」,「rpc.statd」あるいは「LPRng」サービスのいずれかを動作させているRed Hat Linux 6.2および7.0。ベンダーからは,それぞれのパッチが出ているので,それらを適用すれば,被害を防げる。
ラーメン・ワーム(正確にはワームの一部)は,IPアドレスをランダムに選択し,他のマシンへの接続を試みる。そして,接続先のマシンにセキュリティ・ホールがある場合には,侵入してラーメン・ワームの本体である「ramen.tgz」ファイルをコピーする。このファイルは,複数のクラッキング・ツールと,それをコントロールするシェル・スクリプト・ファイルなどを圧縮したファイルである。コピー後,そのファイルは解凍され,含まれているそれぞれのファイルが対象マシン上で不正な動作をする。
まず,侵入したマシン内のすべてのindex.htmlファイルを,ramen.tgzに含まれているindex.htmlに置き換えて,Webページを改ざんする。さらに,(1)設定ファイルを書き換えたり,(2)動作しているサービスを終了させたり,(3)不正なサービスを起動したりする。このサービスは「asp」という名前で起動し,TCPポート27374番で,外部からの接続を待つ。aspサービスは,侵入元のマシンから,侵入先のマシンへramen.tgzをコピーするために使用される。
そして,侵入したマシンで一連の動作が終了すると,再び他のマシンへの接続を開始し,侵入を試みる。
ラーメン・ワームが突くセキュリティ・ホールは,頻繁にクラッキングに利用されている。そのため,CERT/CCなどは以前から何度も警告している。パッチが提供されているので,まだの管理者はすぐに適用する必要がある。
[CERT/CCが公開している情報]
[フィンランドF-Secureが公開している情報]
[英Sophosが公開している情報]
