24 de agosto de 2017

La gama de programas nocivos de hoy para dispositivos bajo la administración de Linux es muy amplia. Un troyano muy popular para este SO es Linux.Hajime, varios descargadores del cual fueron detectados solo por el Antivirus Dr.Web.

Los troyanos de la familia Linux.Hajime son conocidos para los analistas de virus desde finales del año 2016. Son gusanos de red para Linux que se difunden usando el protocolo Telnet. Una vez autorizado correctamente al averiguar la contraseña, el plugin infector guarda en el dispositivo el descargador almacenado en el mismo y creado en assembler. Desde el equipo del ataque el mismo descarga el módulo básico del troyano. A su vez, el programa nocivo incluye el dispositivo infectado en una botnet P2P descentralizada. Linux.Hajime puede infectar los objetos con arquitectura hardware ARM, MIPS y MIPSEL.

Además del descargador nocivo para dispositivos ARM, ya hace más de medio año se difunden los módulos similares para dispositivos con arquitectura MIPS y MIPSEL. El primero fue llamado Linux.DownLoader.506, el segundo — Linux.DownLoader.356. En el momento de preparación de este artículo, ambos se detectaban solo por los productos Dr.Web. Además, los analistas de virus de Doctor Web detectaron que, además de usar los troyanos descargadores, los malintencionados infectan también con utilidades estándar, por ejemplo, descargan Linux.Hajime por medio de wget. Y a partir de 11 de julio de 2017, los ciberdelincuentes empezaron a descargar el troyano al dispositivo atacado con la utilidad tftp.

Las estadísticas recabadas por los expertos Doctor Web demuestran que México está en el primer lugar entre los países de direcciones IP de dispositivos infectados por Linux.Hajime. Así mismo, Turquía y Brasil son entre los tres primeros países. La distribución geográfica de las direcciones IP de los objetos infectados puede consultarse en el diagrama siguiente:

En el siguiente diagrama puede consultarse el número de ataques detectados por la empresa Doctor Web para difundir Linux.Hajime en agosto de 2017.

La empresa Doctor Web recuerda: uno de los modos más seguros de prevenir ataques a dispositivos Linux es el cambio del nombre de usuario y la contraseña establecidos de manera predeterminada. Además, se recomienda restringir la posibilidad de conectarse al dispositivo desde fuera por protocolos Telnet y SSH y actualizar el firmware de manera oportuna. El Antivirus Dr.Web para Linux detecta y borra todas las versiones no mencionadas de descargadores Linux.Hajime, y también permite escanear dispositivos a distancia.

Más información sobre el troyano