Global Preloader
Vulnerabilidad
(26/Nov/2018) EL NUEVO MALWARE DE LINUX

EL NUEVO MALWARE DE LINUX

El fabricante ruso de antivirus, Dr.Web descubrió durante este mes un nuevo troyano; un nuevo script shell (archivo de comandos)  con más de mil líneas de código y el primero en ejecutar un sistema  de Linux infectado; por ahora se le nombró Linux.BtcMine.174.

Además, su manera de funcionar es por medio de la script, encuentra una carpeta con permisos de escritura en el disco, los copia y los utiliza para descargar otros módulos. Una vez que el troyano tiene el apoyo del sistema, utiliza uno de los 2 exploits de escalamiento (dispositivos o método que aprovecha una vulnerabilidad) y obtiene el acceso a todo el sistema operativo.

Posteriormente de haberse apoderado del sistema, tratará de parar otro software que estuviese minando criptomonedas, robando contraseñas ingresadas en los comandos y buscando otros sistemas operativos para infectarlos  mediante el uso de los servidores.

“Hemos visto que el troyano detiene los procesos de antivirus que tiene nombres como safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord”, señaló Dr.Web.

Es importante mencionar que el troyano se encuentra en los archivos /etc/rc.local, /etc/rc.d/, /etc/cron.hourly, los cuales  descargan e instalan un rootkit que tiene la capacidad de robar las contraseñas, ocultar archivos, conexiones de red y procesos de ejecución.

Por el momento no existe la forma de mitigación debido a que descubrimiento reciente.

Fuente secundaria:

https://www.neowin.net/news/new-linux-malware-mines-cyprtocurrency-and-steals-your-password/