PUERTA TRASERA LINUX DENOMINADO LINUX.BACKDOOR.FAKE.1

Fecha actualización el 2016-10-23. Fecha publicación el . Categoría: Malware. Autor: Mapa del sitio

Los investigadores de seguridad de la empresa de seguridad Doctor Web han descubierto una nueva puerta trasera Linux denominado Linux.BackDoor.FakeFile.1 en internet.

Linux, al igual que cualquier otro sistema operativo, podría estar infectado por códigos maliciosos diseñados para comprometer los hosts, y obtener el control sobre ellos.

Las arquitecturas de Linux están en todas partes, es bastante fácil para los ladrones para encontrar servidores Linux vulnerables expuestos en Internet o Intranets mal diseñadas o dispositivos que no están configurados o protegidos adecuadamente.

Es normal que los ciberdelincuentes centran sus esfuerzos en la piratería sistemas Linux. El malware Linux es una evolución natural del panorama de amenazas debido a que el sistema operativo Linux es la plataforma preferida dentro de los centros de datos, infraestructura de nube para las empresas y servidores de aplicaciones.

Linux es también el núcleo de los dispositivos Android y muchos otros sistemas embebidos.

El último software malicioso observado en la naturaleza es Linux.BackDoor.FakeFile.1, que fue descubierto por los expertos de la firma de seguridad DrWeb. El troyano se propaga a través de un documento PDF de Microsoft, o documentos de Open Office.

Cuando las víctimas desencadenan la ejecución de los programas maliciosos, los cuales se guardan a la carpeta .gconf/apps/gnome-common/ en el directorio personal del usuario.

Entonces la búsqueda Linux.BackDoor.FakeFile.1 oculta un archivo, cuyo nombre coincide con el nombre de archivo del malware, y reemplaza el archivo ejecutable con su código.

Por ejemplo, si un archivo ELF de Linux.BackDoor.FakeFile.1 se llama AnyName.pdf, el troyano buscar un archivo oculto bajo el nombre AnyName.pdf y luego reemplazar el archivo original con él utilizando el comando mv AnyName.pdf .AnyName.pdf. Si no se encuentra el archivo, Linux.BackDoor.FakeFile.1 lo crea y lo abre con el programa gedit . "

Los controles de malware y la distribución Linux instalado, para todas las distribuciones que no es de openSUSE, escribe un comando al archivo HOME/. Perfil o el archivo HOME/.Bash_profile para ganar persistencia. El siguiente paso es la recuperación de los datos de configuración de su archivo y su descifrado.

Una vez instalado el malware realiza las siguientes acciones

Las primeras acciones es comunicarse con el comando y control (C & C) del servidor.

Un segundo hilo controla la duración de la conexión que se cerrará después de 30 minutos sin actividad.

A continuación la lista completa de todas las habilidades posible de Linux.BackDoor.FakeFile.1:
  • Enviar el servidor C & C la cantidad de mensajes transferidos durante el período de sesiones
  • Envía una lista de los contenidos de la carpeta especificada
  • Enviar el servidor C & C, el archivo o una carpeta con todo su contenido
  • Eliminar un directorio
  • Eliminar un archivo
  • Cambiar el nombre de una carpeta
  • Elimine a sí mismo
  • Poner en marcha una nueva copia de un proceso
  • Cierre la sesión actual
  • Establecer Backconnect y sh run
  • Terminar Backconnect
  • Abra el archivo ejecutable del proceso para la escritura
  • Cierre el archivo de proceso
  • Crear un archivo o carpeta
  • Escribe los valores transmitidos a un archivo
  • Obtener los nombres, permisos, tamaños y fechas de creación de los archivos en el directorio especificado
  • Ajuste 777 privilegios en el archivo especificado

Los investigadores de DrWeb destacaron que la Linux.BackDoor.FakeFile.1 no requiere privilegios de root para trabajar, que opera con los derechos de los usuarios actuales.

Si deseas mas detalles tecnicos del funcionamiento de este malware puedes ir a este sitio desde AQUI


Comenta y comparte en Compartir en Google+
dr web