¿Sera asi de peligroso?
Veo en Jambitz.com que ah aparecido el ¿primer? troyano para Linux, si como oyen, un troyano. Uriel Rodriguez nos cuenta que:
“Symantec publicó la identificación del primer troyano hecho contra Linux. Su nombre es Linux.Phalax, tiene comportamiento de rootkit y es capaz de ejecutar comandos del sistema operativo, dados desde equipos remotos.
Según el sitio español Alerta-Antivirus, este troyano carece de rutina propia de propagación. Suele llegar al sistema descargado por otro código malicioso, o descargado sin el conocimiento del usuario al visitar alguna página web infectada. Su peligrosidad es clasificada como baja”
Pero, ¿Relamente debemos preocuparnos? Tal vez, pero por ahora todavia podemos apoyarnos y difundir esto ademas de la forma de solucionarlo.
Peligrosidad: 2 - Baja Difusión: Baja Fecha de Alta:05-08-2008
Última Actualización:05-08-2008
Daño: Alto
[Explicación de los criterios] Dispersibilidad: Bajo
Nombre completo: Trojan.LINUX/Linux.Phalax
Tipo: [trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [liNUX] - Linux
Alias:Linux.Phalax (Symantec)
Método de Infección/Efectos
Es un troyano que funciona como un rootkit (conjunto de herramientas camufladas en software del sistema operativo). Crea los directorios siguientes:
* /usr/share/.home.ph1/
* /usr/share/.home.ph1/tty/
El troyano también crea los ficheros siguientes:
* /usr/share/.home.ph1/cb
* /etc/host.ph1/hostname
* /usr/share/.home.ph1/.phalanx
* /usr/share/.home.ph1/.sniff
El rootkit oculta su presencia en el ordenador enganchado a las siguientes llamadas al sistema:
* read
* lstat64
* lstat
* getdents64
* open
El troyano se conecta a un equipo remoto, que puede ser especificado por el atacante. La forma de indicar ese equipo por parte del atacante es mediante el envio de una petición especialmente manipulada, la cual lleva una clave desde el equipo local o bién desde una shell remota, por ejemplo:
* echo ‘phalanx1!111.222.333.444!PORT[PADDING]‘
El rootkit permite al atacante remoto a ejecutar comandos con todos los derechos del sistema.
Método de Propagación
Carece de rutina propia de propagación. Suele llegar al sistema descargado por otro código malicioso, o descargado sin el conocimiento del usuario al visitar alguna página Web infectada.
SOLUCION
*
o /usr/share/.home.ph1/cb
o /etc/host.ph1/hostname
o /usr/share/.home.ph1/.phalanx
o /usr/share/.home.ph1/.sniff
o /usr/share/.home.ph1/
o /usr/share/.home.ph1/tty/
Para eliminar el troyano, tenemos que eliminar los ficheros que ha creado:
Tenemos que eliminar los directorios que ha creado:
* Es posible que la infección esté más extendida y la forma que aconsejan otros autores, es la reinstalación completa del sistema.
No hay comentarios:
Publicar un comentario