Virus para linux

Vie Mar 27 09:15:58 GMT 2009

Hola Ubunteros:
Como en varias ocasiones se ha hablado aquí los virus y linux y casi siempre se llega  a la conclusión de que linux es prácticamente inmune a los dichosos virus. El otro día leí el siguiente articulo en www.hispasec.com donde se habla de un virus hecho para infectar máquinas linux.
¿Cómo podríamos proteger nuestros Ubuntus frente a este tipo de virus?

Un saludo
  David
**********ARTICULO*********** 
-------------------------------------------------------------------
  Hispasec - una-al-día                                  25/03/2009
  Todos los días una noticia de seguridad          www.hispasec.com
-------------------------------------------------------------------

Routers, modems y botnets
-------------------------

Desde hace unas semanas DroneBL ha sufrido un ataque distribuido de
denegación de servicio procedente de una botnet llamada 'psyb0t'. Nada
nuevo si tenemos en cuenta que DroneBL ofrece un servicio gratuito de
publicación de listas negras de IP en tiempo real, lo cual no es
precisamente una manera de ganarse admiradores entre las filas de
creadores de malware, spammers, etc. Lo interesante del asunto se
lo encontraron cuando recabaron información sobre su atacante.

El gusano que teje 'psyb0t' no tiene como objetivo los ordenadores
personales o servidores. El binario ni tan siquiera está compilado para
la omnipresente arquitectura x86. Su foco de infección se encuentra en
los routers y modems ADSL con Linux y procesador MIPS. El gusano efectúa
un barrido por rangos de IP escaneando los puertos 22, 23 y el 80,
buscando una vulnerabilidad que expone la administración remota del
dispositivo a través de telnet, ssh e interfaz web inclusive con los
permisos por defecto. Si la configuración ha sido modificada, lo
intentará por fuerza bruta.

Tras obtener una shell con permisos de administrador borra el archivo
'/var/tmp/udhcpc.env' que pertenece al cliente DHCP y comprueba la
existencia del comando wget para efectuar la descarga de una réplica
del gusano con el mismo nombre y ruta que el archivo borrado. Tras
ello inyecta reglas en iptables para cerrar la entrada en los puertos
22, 23 y 80 y así evitar su apertura lícita y reinfección. Una vez
infectado, el nuevo nodo, conecta a un servidor IRC donde procesa el
topic que contiene instrucciones para los bots.

Aunque el primer contacto con esta botnet fue documentado por un tal
Terry Baume en enero de este año, parece ser que este es el primer
ataque a gran escala o el incidente que ha tenido mayor repercusión
mediática hasta el momento. Varios son los factores que no pasaron por
alto los creadores de 'psyb0t', un vector fácil, contraseñas por defecto
y exposición de la administración remota, una presa descuidada, como un
olvidado router con el que no se interactúa y se mantiene encendido las
24 horas, y sobre todo el silencio: ¿Cuándo fue la última vez que
monitorizaste el tráfico del router?

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3805/comentar

Mas información:

Blog de DroneBL
http://dronebl.org/blog/8

Your router, plausible home to a stealth rootkit?
http://nenolod.net/~nenolod/router-malware.pdf

PSYB0T 2.5L
http://www.adam.com.au/bogaurd/PSYB0T.pdf