Een nieuwe Internetworm baant zich een weg over het internet. De worm maakt gebruik van bekende beveiligingsfouten in Red Hat Linux servers. De worm, Ramen (een soort noedels) genaamd, lijkt volgens sommigen elkaar gezet te zijn door zogenaamde script-kiddies, maar is desalniettemin zeer effectief. Honderden tot duizenden systemen zouden al besmet zijn. Ramen vindt zijn weg door te zoeken naar servers die Red Hat Linux versie 6.2 of 7.0 draaien en binnen te dringen met een methode die beheerdersprivileges verschaft. Als dat lukt dicht de worm de beveiligingsgaten en vervangt een eventueel aanwezige index.html vervangt door een pagina met de tekst "RameN Crew--Hackers looooooooooooove noodles."

Als de worm hiermee klaar is stuurt het een berichtje naar 2 Hotmail accounts en gaat weer op zijn weg, naar de volgende lekke Red Hat Linux server. De worm werd ontdekt door lezers van de Security Focus 'incidents' mailinglist (thread), die een stijging in het aantal scans voor WU-Ftpd en rpc.statd (diensten die vaak op Unix/Linux servers draaien) waarnamen. In deze diensten zit bij RedHat 6.2 en 7.0 een lek. Er zijn voor de door de worm gebruikte gaten (WU-ftpd, rpc.stad, LPRng) al geruime tijd oplossingen in de vorm van patches beschikbaar, maar een groot aantal beheerders heeft verzuimd deze te installeren.

Als de worm scant gebruikt deze grote hoeveelheden bandbreedte, en valt daardoor ook snel op. De snelheid waarmee de worm grote hoeveelheden IP-nummers kan afscannen is opvallend.

Het is voor het eerst sinds 1988, toen de door Robert Morris losgelaten internetworm het toen nog arpanet geheten internet nagenoeg platlegde dat een dergelijke worm zo succesvol is.

Daniel Martin maakte een analyse van de Ramen worm.

Red Hat waarschuwingen en oplossingen zijn hier te vinden. Updaten van een Red Hat Linux systeem is in grote mate te automatiseren door middel van het programma updateme of het nieuwere
up2date.

Patrick Oonk heeft een Perl script geschreven dat Ramen kan detecteren.