Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Volver a las noticias

Un nuevo troyano miner para Linux elimina los antivirus

20 de noviembre de 2018

La obtención oculta de la criptomoneda usando los recursos del equipo sin autorización de su dueño es uno de los modos más populares de ganar dinero criminal hoy día. La empresa Doctor Web informa sobre un miner detectado hace poco, capaz de infectar los dispositivos bajo el SO Linux. Este programa nocivo puede infectar otros dispositivos de red y eliminar los virus que están funcionando en el sistema.

Un troyano añadido a las bases de virus Dr.Web, llamado Linux.BtcMine.174, es un amplio escenario creado en la lengua de shell de comandos sh que contiene más de 1000 líneas del código. Este programa nocivo consiste en varios componentes. Al iniciarse, el troyano comprueba la disponibilidad del servidor desde el cual posteriormente descarga otros módulos, y busca en el disco una carpeta con permisos de escritura donde posteriormente se cargarán estos módulos. Luego, este escenario se mueve a la carpeta anteriormente seleccionada llamada diskmanagerd y vuelve a iniciarse como demonio. Para realizarlo, el troyano usa la utilidad nohup. Si no hay esta utilidad en el sistema, carga de forma autónoma e instala el paquete de utilidades coreutils donde también hay nohup.

En caso de instalación correcta en el dispositivo, el escenario nocivo descarga una de las versiones del troyano Linux.BackDoor.Gates.9. Los backdoors de esta familia permiten ejecutar los comandos de los malintencionados y realizar los ataques DDoS.

screenshot Linux.BtcMine.174 #drweb

Al instalarse en el sistema, Linux.BtcMine.174 busca los miners de competencia y al detectarlos finaliza sus procesos. Si Linux.BtcMine.174 no fue iniciado en nombre del superusuario (root), para mejorar sus privilegios en el sistema infectado usa un conjunto de exploits. Los analistas de virus de Doctor Web detectaron como mínimo dos exploits aplicados por Linux.BtcMine.174: es Linux.Exploit.CVE-2016-5195 (también llamado DirtyCow) y Linux.Exploit.CVE-2013-2094, así mismo, los códigos fuente de DirtyCow descargados de Internet el troyano los compila directamente en el equipo infectado.

Luego el programa nocivo intenta buscar los servicios de programas antivirus activos con nombres safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets y xmirrord. En caso de detectarlos, el troyano no simplemente finaliza el proceso del antivirus, sino también, usando los administradores de paquetes, elimina sus archivos y el directorio donde estaba instalado el producto antivirus.

Luego Linux.BtcMine.174 registra a sí mismo en el autoinicio, y posteriormente descarga e inicia un rootkit en el dispositivo infectado. Este módulo también está realizado como un escenario sh y se basa en el código fuente publicado anteriormente en acceso libre. Entre las funciones del módulo rootkit se puede destacar el robo de las contraseñas del comando su introducidas por el usuario, la ocultación de los archivos en el sistema de archivos, las conexiones de red y los procesos iniciados. El troyano recopila la información sobre los nodos de red a los cuales anteriormente se conectaba por el protocolo ssh, e intenta infectarlos.

Al haber realizado todas estas acciones, Linux.BtcMine.174 inicia un miner en el sistema que sirve para obtener la criptomoneda Monero (XMR). Con intervalo de un minuto, el troyano comprueba si este miner había sido iniciado y, en caso necesario, lo reinicia de forma automática. También, en un ciclo ininterrumpido, el mismo se conecta al servidor de control para descargar las actualizaciones si las mismas están disponibles.

Linux.BtcMine.174, así como todos sus componentes, se detecta correctamente por el Antivirus Dr.Web para Linux, y por lo tanto no es de peligro para nuestros usuarios.

El listado completo de indicadores de compromiso puede consultarse en el enlace https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174.

Más información sobre el troyano

#Linux #criptomonedas #mining #Troyano

Nos importa su opinión

Por cada comentario se abona 1 punto Dr.Web. Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios

Desarrollador ruso de antivirus Dr.Web
Experiencia de desarrollo a partir del año 1992
Dr.Web se usa en más de 200 países del mundo
Entrega de antivirus como servicio a partir del año 2007
Soporte 24 horas

Dr.Web © Doctor Web
2003 — 2020

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125124, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А