Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Volver a las noticias

Doctor Web detectó un troyano en Linux creado en Go

8 de agosto de 2016

Los analistas de virus de la empresa Doctor Web detectaron y analizaron un nuevo troyano para sistemas operativos de familia Linux, capaz de iniciar en el equipo infectado un programa para obtener criptodivisas. La peculiaridad de este programa nocivo es que el mismo fue creado en el lenguaje de programación Go creado por la corporación Google.

El troyano llamado Linux.Lady.1 puede realizar un conjunto de acciones limitado: detectar la dirección IP externa del equipo infectado, atacar otros equipos, descargar e iniciar en el equipo infectado un programa para obtener (mining) criptodivisas. Linux.Lady.1 fue creado en lenguaje Go creado por la corporación Google. Las aplicaciones peligrosas creadas en este lenguaje también habían sido detectadas por los analistas de virus anteriormente, pero de momento no son muy frecuentes. En su arquitectura el troyano usa un conjunto de bibliotecas publicadas en el servicio muy popular de almacenamiento y desarrollo compartido de aplicaciones GitHub.

screen #drweb

Una vez iniciado, Linux.Lady.1 transfiere al servidor administrativo la información sobre la versión Linux instalada en el equipo y el nombre de la familia SO a la cual pertenece la misma, los datos sobre el número de procesadores, el nombre y el número de procesos iniciados y otra información. De respuesta, el troyano recibe un archivo de configuración, usando el cual, se descarga e inicia el programa miner destinado para obtener criptodivisas. El dinero obtenido de esta forma el troyano lo abona al monedero electrónico perteneciente a los malintencionados.

screen #drweb

Linux.Lady.1 puede detectar la dirección IP externa del equipo infectado usando los sitios web especiales, los enlaces a los cuales el programa nocivo los recibe en el archivo de configuración, y atacar otros equipos de la misma red. El troyano intenta conectarse a los nodos remotos a través del puerto usado por el almacén de datos journaling Redis (remote dictionary server) sin contraseña esperando que este sistema no haya sido configurado correctamente. Si se puede establecer conexión, el troyano registra en el planificador de tareas cron del equipo remoto un script descargador detectado por el Antivirus Dr.Web bajo el nombre de Linux.DownLoader.196 que, a su vez, descarga e instala en el nodo comprometido la copia de Linux.Lady.1. Luego el programa nocivo añada al listado de claves autorizadas una clave para conectarse al equipo atacado por protocolo SSH.

El antivirus Dr.Web detecta y elimina correctamente los programas nocivos Linux.Lady.1 y Linux.DownLoader.196 que por lo tanto no suponen peligro para nuestros usuarios.

Más información sobre el troyano

Nos importa su opinión

Por cada comentario se abona 1 punto Dr.Web. Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios

Desarrollador ruso de antivirus Dr.Web
Experiencia de desarrollo a partir del año 1992
Dr.Web se usa en más de 200 países del mundo
Entrega de antivirus como servicio a partir del año 2007
Soporte 24 horas

Dr.Web © Doctor Web
2003 — 2020

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125124, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А