El troyano Rekoobe amenaza a los usuarios de Linux

3 de diciembre de 2015

El número y las posibilidades de los programas nocivos para los sistemas operativos de la familia Linux crecen cada día. Así, por ejemplo, el troyano investigado por los analistas de virus de la empresa Doctor Web, Linux.Rekoobe.1 por comando de los malintencionados puede descargar desde el servidor administrativo y subir al mismo varios archivos, así como comunicarse con el interpretador de comandos Linux en el dispositivo infectado.

Cabe destacar que las primeras versiones de Linux.Rekoobe.1 estaban destinadas para infectar los dispositivos que funcionan bajo la administración de Linux con arquitectura SPARC, pero es probable que luego los creadores de virus hayan decidido modificar el troyano para que el mismo sea compatible con la plataforma Intel. Así mismo, los expertos de la empresa Doctor Web conocen las muestras de Linux.Rekoobe.1 para las versiones del SO Linux tanto de 32 como de 64 bits compatibles con Intel.

Para su funcionamiento Linux.Rekoobe.1 usa un archivo de configuración cifrado, al leer el contenido del cual, el troyano con cierta periodicidad sondea el servidor administrativo para obtener comandos. En determinadas condiciones, la conexión al centro de comandos se realiza a través del servidor proxy, los datos para la autorización en el cual el programa nocivo los extrae de su propio archivo de configuración. Así mismo, toda la información enviada y recibida por el troyano se divide en bloques separados, cada uno de los cuales se cifra, y se le añade una firma propia.

Linux.Rekoobe.1 también tiene un sistema bastante sofisticado de comprobación de autenticidad de los «paquetes» con información cifrada, recibidos del servidor administrativo. Pero a pesar de su mecanismo tan complicado de funcionamiento, Linux.Rekoobe.1 puede ejercer solo tres comandos de los malintencionados, a saber: descargar desde el servidor administrativo o subir al mismo los archivos, transmitir las directivas recibidas al interpretador de comandos Linux y traducir el resultado recibido al servidor remoto, gracias a lo cual los ciberdelincuentes tendrán la posibilidad de comunicarse con el dispositivo infectado de forma remota.

Las firmas para todas las muestras de Linux.Rekoobe.1 conocidas hasta hoy día fueron añadidas a las bases de virus Dr.Web, por lo tanto los usuarios del Antivirus Dr.Web para Linux están protegidos de forma segura contra el peligro de penetración de este programa nocivo en sus dispositivos.

Más información sobre el troyano

Atrás



COMPRAR a través de nuestros socios | en línea | Añadir a la biblioteca