Se trata en realidad de una colección de scripts y utilidades de Linux, que llegan al sistema infectado en un archivo llamado Ramen.tgz.
El gusano comienza ejecutando un shell script llamado start.sh. Este script llama a un generador de números al azar, que genera direcciones IP (subred de clase B).
El gusano intentará copiarse a si mismo a una de las direcciones de ese rango IP, si localiza allí un servidor corriendo bajo Linux Red Hat 6.2 o 7.0.
También ejecuta un servidor HTTP en el puerto 27374 de la máquina infectada, y luego, aprovechándose de conocidas vulnerabilidades de las versiones de Linux mencionadas, puede ganar el acceso al servidor, donde reemplazará la página principal, por el siguiente texto:
El gusano es capaz de escanear Internet en forma muy rápida (más de 100.000 direcciones IP en menos de 15 minutos) en busca de servidores para infectar. Para hacer este escaneo utiliza enormes cantidades de ancho de banda. A pesar de ello, se ha estado propagando muy rápidamente.
En las computadoras con Red Hat 6.2, el gusano se aprovecha de la vulnerabilidad rpc.statd o wuftpd service. En Red Hat 7.0, explota el bug LPRng, para lograr el acceso al sistema.
Una vez en el mismo, el gusano se copia a si mismo al archivo tar.gz. Este paquete puede ser bajado desde el servidor HTTP en el puerto 27374 creado por el virus.
El gusano extrae el contenido de este paquete dentro de un directorio temporal en la computadora atacada y ejecuta el archivo start.sh, activando el gusano en la nueva máquina.
Por último, el trojan envía un mensaje de correo electrónico a dos cuentas anónimas en Yahoo! y Hotmail, o basadas en el propio servidor afectado, al que luego reinicia, comenzando nuevamente el escaneo de Internet. El mensaje contiene la dirección IP de la máquina atacada.
Para borrarlo.
1. Ejecute un antivirus actualizado para Linux, y borre los archivos afectados.
2. Instale los parches que corrigen estas vulnerabilidades:
Red Hat 7.0 Security Advisories
Red Hat 6.2 Security Advisories
