Si creías que instalando linux te salvabas de virus, troyanos y malware, pues esta noticia no te debe caer muy bien. Se ha descubierto un nuevo troyano que afecta a este sistema operativo, que obtiene privilegios de root, además de ponerse a minar la criptomoneda «Monero«, entre otras cosas.
Teniendo alrededor de +1000 líneas de código, el troyano conocido como «Linux.BtcMine.174«, aprovecha vulnerabilidades de linux para instalarse, luego de ello, obtiene privilegios de root en la máquina. Con esto, descarga e instala otros módulos ejecutándolos como demonios locales.
Entre ellos, busca si es que existe algún otro troyano o aplicación de criptomonedas, para finalizar dichos procesos y solo dejarse a el como único. Otra de las cosas que realiza, descarga a «BillGates» (Linux.BackDoor.Gates.9), un conocido troyano que ejecuta ataques DDoS y BackDoor.
Obviamente, también busca la ejecución de programas antivirus basados en linux y los eliminará del host infectado, entre ellos se encuentran: «safedog, aegis, yunsuo, clamd, avast, avgd, cmdmgd, drweb-configd, drweb-spider-kmod, esets y xmirrord«.
Como si esto fuera poco, el troyano también se agrega como una entrada de ejecución automática a archivos como /etc/rc.local , /etc/rc.d / … y /etc/cron.hourly ; y luego descarga y ejecuta un rootkit. Este componente de rootkit tiene características aún más intrusivas, según los expertos, como «la capacidad de robar contraseñas ingresadas por el usuario para el comando su y ocultar archivos en el sistema de archivos, conexiones de red y procesos en ejecución».
Su forma de propagación es mediante SSH, en donde busca a todos los servidores remotos a los que el host infectado se ha conectado, para de esa forma conectarse y propagarse.
Por ahora Dr.Web ha publicado parte del código de este troyano y provee una herramienta para escanear el equipo identificando si te has infectado con este nuevo troyano.
Link: Dr.Web
