Un troyano más para Linux

Se agrega una nueva amenaza para los usuarios de linux. La aparición de nuevos malwares para este sistema operativo parece hacerse cada vez más frecuente en esto últimos tiempos.  Ahora es el turno de un nuevo troyano, cuya detección aunque fue reciente, ya se empieza a hablar de como  podría afectar a todos los usuarios de Linux.

La nueva amenaza lleva el nombre de Linux.Ekocms.1, y fue descubierta hace una semana una vez mas por la compañia de antivirus rusa Dr. Web, quienes ya habían detectado algunos troyanos anteriores como Rekoobe.

Dr. Web, en su portal, ha publicado el descubrimiento de la compañia, quienes han definido este malware como un troyano de la familia spyware, capaz de tomar capturas de pantalla y descargar diferentes archivos que podrían comprometer la seguridad de tu computador y claro esta, la privacidad del usuario.

El troyano esta diseñado para tomar screenshots cada 30 segundos, y se almacenan dentro de un directorio temporal en el ordenador, en formato JPEG o BMP, con un nombre que contiene la fecha y hora de cuando se tomó la imagen bajo el modelo ss%d-%s.sst, donde el %s es una estampa de tiempo. Si hay un error al guardar el archivo, el troyano utilizará el formato de imagen BMP.

Una vez lanzado, el troyano analiza los siguientes dos archivos

  • $HOME/$DATA/.mozilla/firefox/profiled
  • $HOME/$DATA/.dropbox/DropboxCache

Si no se encuentran estos archivos, el troyano es capaz de crear su propia copia llamada igual que alguna de estas dos anteriores para pasar desapercibido dentro del sistema. Una vez establecida la conexión entre Linux.Ekocms.1 y el servidor, a través de un proxy cuya dirección se encuentra encriptada dentro de el, comienza el traspaso de información encriptada al C&C. 

Por ultimo, Linux.Ekocms.1 genera una lista de filtrado para archivos aa*.aat, dd*.ddt, kk*.kkt, ss*.sst dentro del directorio y sube los archivos al servidor que coincidan con este criterio. Ademas de la habilidad de tomar capturas de pantalla, el troyano tiene la capacidad de grabar audio y salvarlo con el nombre de aa-%d-%s.aa con el formato WAV. Sin embargo, Dr. Web no ha detectado el uso de esta función todavía Hasta el momento no se ha conocido información de los archivos “dd*.ddt”, “kk*.kkt” y que datos podría contener ambos.


Categorías

GNU/Linux, Noticias

Ing. de Telecomunicaciones. Complejo de programador. Amante de la música y el baile. "Life is all about timing".

12 comentarios

  1.   Mentiras dijo

    Tan falso como los anteriores,compañías de antivirus empeñadas en que necesitas comprar su productos no van a decir que no hay peligro…el vendedor de muletas,ante cualquier herida recomendaba amputar….
    No fiarse de estos cuentos.

  2.   Chalo Canaria dijo

    ¿Creen que sea necesario usar un antivirus para Linux en un futuro próximo? Viendo todas las amenazas que están surgiendo, empiezo a verlo relevante

    1.    r0dr1g0 dijo

      Hola,

      Realmente no creo que sea necesario un programa antivirus en GNU/Linux, ya que contamos con la ventaja de que todo es un fichero y para poderse ejecutar necesita que voluntariamente le demos permisos de ejecución. Y, normalmente, los programas que instalamos en nuestra distribución de GNU/Linux los obtenemos de repositorios oficiales de las mismas distribuciones. Por ende, es más difícil aunque no imposible: que en nuestro equipo se ejecute software malicioso. También queda el factor de qué páginas web visitamos, aunque con un poco de sentido común, estaríamos cubiertos.

      Saludos libres.

      1.    Santiago dijo

        Saludos.
        Pienso igual que tu mi amigo, el sentido común es el antivirus más eficaz que existe en cualquier sistema operativo y en GNU/linux los niveles de permisos ayudan a prevenir cualquier intrusión.

  3.   Gonzalo Martinez dijo

    No creo que deba existir antivirus para linux, por el simple hecho que las vulnerabilidades se parchean al instante casi.

  4.   Iñigo Panera dijo

    Está muy bien la descripción de lo que hace el troyano, pero también interesa mucho que expliquen qué métodos utilizan los atacantes para distribuirlo y engañarte para que te lo instales.
    Si utilizas los repositorios oficiales y software de confianza no creo que estés expuesto a esta amenaza.

  5.   fernando dijo

    y el método de infección???
    el antivirus es un curro para linux y para cualquier SO
    el mejor antivirus es tener conciencia

  6.   userarch dijo

    GNU/Linux y windows lo que sea; son software creado por seres humanos(virtudes y/o vicio, maldad, vileza), de esto lo destacable; es que GNU/linux es Open Source, trae consigo su codigo fuente; si podemos interpretar ese codigo, sabemos que hacen esos programas o scripts en nuestros orenadores u otros equipos de electrónica; si interpretamos que uno de esos programas o scripts realizan procesos perjudiciales en nuestra maquina, solapadamente o no; lo borramos y analizamos como fue que se instalo y evitamos que vuelva a instalarse.
    Es posible usar los siguientes sitios para averiguar sobre esas extensiones de archivos en:
    http://www.file-extensions.org/

  7.   userSUSE dijo

    La gran pregunta como hace este troyano para infectar al huesped?
    La nota es sobre las actividades del troyano una vez que infecto el huesped. Bien pero como se infecto el husped con este troyano, eso no explica. Si yo instalo todos mi programas de repo oficiales o de sitios de confianza, por donde entra el troyano?
    Habria que ser mas serio con este tipo de info.

    Atte.

  8.   Peg Asus dijo

    Muy dudoso este post, no dice el método de infección, lo único que puede afectar un troyano es meter “miedo” para que instalemos un antivirus…

    Dejen de meter estas “historias” incomprobables.

  9.   hifuny dijo

    Muy buena publicidad se esta haciendo dr. web antivirus, es uno de los pocos softwares antivirus que están disponibles en GNU linux, para mi que ellos son bien capases de diseñar la estructura de un virus y distribuirlo ¿porque sera que no me suena nada bien?

  10.   Kevin Ramos dijo

    O sea, si es publicidad de Dr.Web, ellos crean el virus ? para que les compren el antivirus ? o sea si hay virus para Linux !

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.