13 de abril de 2016

La aparición de los nuevos troyanos backdoors capaces de ejecutar los comandos de los malintencionados y ofrecer la posibilidad de administración remota de un equipo infectado siempre es un evento importante en el ámbito de la seguridad informática. Y sobre todo si estos programas nocivos están destinados para los sistemas operativos de la familia Linux. En abril los analistas de virus de la empresa Doctor Web detectaron varios troyanos similares a la vez llamados Linux.BackDoor.Xudp.1, Linux.BackDoor.Xudp.2 y Linux.BackDoor.Xudp.3 respectivamente.

El primer eslabón en la cadena de infección es un archivo ELF detectado por el Antivirus Dr.Web bajo el nombre de Linux.Downloader.77. Cabe destacar que inicialmente esta aplicación estaba destinada para una variedad de ataques a los abonados remotos por medio de envío masivo de paquetes UDP a la dirección establecida. Linux.Downloader.77 — es una versión «troyana» de este programa. La víctima potencial sin ayuda descarga e inicia esta utilidad en su equipo que al descargarse le solicita al usuario que le proporcione los privilegios root, — sin eso no funciona. Cabe destacar que los programas «flooders» similares muchas veces realizan las funciones ocultas adicionales – por ejemplo, pueden descargar de Internet otros programas peligrosos. En este sentido Linux.Downloader.77 no es una excepción.

Si Linux.Downloader.77 recibe los privilegios root, descarga del servidor de los malintencionados e inicia otro script– Linux.Downloader.116. Este script descarga el módulo básico del backdoor Linux.BackDoor.Xudp.1, lo guarda bajo el nombre /lib/.socket1 o /lib/.loves, coloca el script de autoinicio en la carpeta /etc/ bajo el nombre de rc.local y configura la tarea de inicio automático del troyano en cron. Además, durante la instalación del programa nocivo se limpia el contenido iptables.

Una vez iniciado, Linux.BackDoor.Xudp.1 descifra el bloque de los datos de configuración que está en su cuerpo y contienen la información necesaria para su funcionamiento, y envía al servidor la información sobre el equipo infectado. Luego inicia tres flujos independientes. En el primero, el backdoor usa el protocolo HTTP. El troyano envía al servidor administrador un mensaje diciendo que está iniciado, recibe una clave para cifrar mensajes, los datos sobre el servidor al que hay que enviar ñas solicitudes, y el número del puerto. Luego Linux.BackDoor.Xudp.1 con cierta periodicidad envía a este servidor las solicitudes de respuesta a las cuales puede recibir algún comando. Supuestamente este mecanismo puede ser usado para la actualización automática del programa nocivo. Todas las directivas que llegan están cifradas, y el troyano las descifra usando la clave generada por el mismo.

En el segundo flujo Linux.BackDoor.Xudp.1 también espera la recepción de comandos de administración del servidor, pero por protocolo UDP. En el tercer flujo el troyano envía al servidor administrativo con intervalo temporal establecido un datagrama determinado para informar que sigue funcionando.

Entre los comandos que puede ejecutar Linux.BackDoor.Xudp.1, los investigadores detectaron una demanda de envío continuo de varias solicitudes (flood) al abonado establecido. La realización de los ataques DDoS, la ejecución de los comandos aleatorios en el dispositivo infectado. Así mismo, Linux.BackDoor.Xudp.1 puede escanear por comando los puertos en el rango establecido de direcciones IP, puede iniciar los archivos indicados por el malintencionado, enviarles algún archivo, y también realizar otras tareas. Los analistas de virus de la empresa Doctor Web destacan que este troyano debe de ser sometido a un proceso de desarrollo activo— sus nuevas modificaciones aparecen con bastante frecuencia.

Los troyanos Linux.BackDoor.Xudp.2 y Linux.BackDoor.Xudp.3 son las versiones mejoradas del backdoor Linux.BackDoor.Xudp.1 y se distinguen del mismo solo por algunos detalles— por ejemplo, por el nombre bajo el cual el programa nocivo se guarda en el sistema, por el volumen de la información enviada al servidor administrativo sobre el equipo infectado o por un conjunto de comandos ejecutados. Todos estos programas nocivos se detectan correctamente por el Antivirus Dr.Web para Linux y por lo tanto no son peligrosos para nuestros usuarios.

Más información sobre el troyano