¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Demo gratis
Dr.Web para Android

Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas

Sus solicitudes

Perfil

Volver a las noticias

Doctor Web investigó un backdoor para Linux

20 de octubre de 2016

La mayor parte de troyanos backdoors son de amenaza para el SO Windows, pero algunos pueden funcionar en dispositivos bajo la administración de Linux. Uno de estos troyanos fue investigado en octubre de 2016 por los expertos de la empresa Doctor Web.

El programa nocivo fue llamado Linux.BackDoor.FakeFile.1 y se difunde, según algunas características, en un archivo, como documento PDF, de Microsoft Office u Open Office.

Al iniciarse, el troyano guarda a sí mismo en la carpeta .gconf/apps/gnome-common/gnome-common ubicada en el directorio principal del usuario. Luego en la carpeta desde la cual fue iniciado busca un archivo oculto con el nombre que corresponde al suyo, y posteriormente sustituye el archivo ejecutable por el mismo. Por ejemplo, si el archivo ELF Linux.BackDoor.FakeFile.1 se titulaba AnyName.pdf, buscará un archivo oculto titulado.AnyName.pdf, luego lo guarda en vez del archivo original usando el comando mv .AnyName.pdf AnyName.pdf. Si no hay este documento, Linux.BackDoor.FakeFile.1 lo crea y luego lo abre en el programa gedit.

Luego el troyano comprueba el nombre de la distribución Linux usada en el dispositivo atacado: si es distinto a openSUSE, Linux.BackDoor.FakeFile.1 guarda en los archivos <HOME>/.profile o <HOME>/.bash_profile un comando para su propio autoinicio automático. Luego extrae de su propio archivo y descifra los datos de configuración, y luego ejecute dos flujos: uno intercambia la información con el servidor de control, el otro supervisa el periodo de conexión. Si el troyano no recibe comandos durante más de 30 minutos, la conexión se rompe.

Linux.BackDoor.FakeFile.1 puede ejecutar los comandos siguientes:

  • comunicar al servidor de control el número de mensajes enviados durante la conexión actual;
  • transferir un listado del contenido de una carpeta establecida;
  • transferir al servidor de control el archivo indicado o la carpeta con todo su contenido;
  • borrar un catálogo;
  • borrar un archivo;
  • cambiar nombre de la carpeta indicada;
  • borrar a sí mismo;
  • iniciar la nueva copia del proceso;
  • cerrar la conexión actual;
  • organizar backconnect e iniciar sh;
  • finalizar backconnect;
  • abrir el archivo ejecutable del proceso para la escritura;
  • crear un archivo del proceso;
  • crear un archivo o una carpeta;
  • guardar los valores transferidos en un archivo;
  • recibir los nombres, los tamaños y las fechas de creación de archivos en el directorio indicado;
  • establecer los permisos 777 para el archivo ibdicado;
  • finalizar la ejecución del backdoor.

Para su funcionamiento Linux.BackDoor.FakeFile.1 no requiere privilegios root, puede realizar las funciones nocivas con privilegios del usuario actual en nombre de cuya cuenta fue iniciado. La firma del troyano fue añadida a las bases de virus Dr.Web, y por lo tanto, el mismo no es de amenaza para nuestros usuarios.

Más información sobre el troyano

Nos importa su opinión

Por cada comentario se abona 1 punto Dr.Web. Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios

Desarrollador ruso de antivirus Dr.Web

Experiencia de desarrollo a partir del año 1992

Dr.Web se usa en más de 200 países del mundo

Entrega de antivirus como servicio a partir del año 2007

Soporte 24 horas

© Doctor Web
2003 — 2017

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125040, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А