Check the new version here

Popular channels

Solucion para Eliminar Troyano "Linux.Phalax"

Todo sabíamos que era cuestión de tiempo para que esto suceda, sin embargo supongo que muchos esperábamos equivocarnos ya que se trata de software libre (a pesar que se me ocurren unas cuantas empresas que ganarían algo con una propagación de virus en sistemas GNU/Linux).

Si bien el nivel de peligrosidad es bajo y no se auto-propaga, no está demás echarle una miradita. Para ver si su sistema ha sido infectado, visiten este link en donde podrán encontrar donde mirar y que remover, de ser necesario.

“Symantec publicó ayer por la tarde la identificación del primer troyano hecho contra Linux. Su nombre es Linux.Phalax, tiene comportamiento de rootkit y es capaz de ejecutar comandos del sistema operativo, dados desde equipos remotos.

Según el sitio español Alerta-Antivirus, este troyano carece de rutina propia de propagación. Suele llegar al sistema descargado por otro código malicioso, o descargado sin el conocimiento del usuario al visitar alguna página web infectada. Su peligrosidad es clasificada como baja”

Pero, ¿Realmente debemos preocuparnos? Tal vez, pero por ahora todavia podemos apoyarnos y difundir esto ademas de la forma de solucionarlo.

Peligrosidad: 2 – Baja

Difusión: Baja
Daño: Alto
Dispersibilidad: Bajo

Explicación de los criterios
Nombre completo: Trojan.LINUX/Linux.Phalax
Tipo: [Trojan] – Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [LINUX] – Linux
Alias:Linux.Phalax (Symantec)

Método de Infección/Efectos

Es un troyano que funciona como un rootkit (conjunto de herramientas camufladas en software del sistema operativo). Crea los directorios siguientes:

* /usr/share/.home.ph1/
* /usr/share/.home.ph1/tty/

El troyano también crea los ficheros siguientes:

* /usr/share/.home.ph1/cb
* /etc/host.ph1/hostname
* /usr/share/.home.ph1/.phalanx
* /usr/share/.home.ph1/.sniff

El rootkit oculta su presencia en el ordenador enganchado a las siguientes llamadas al sistema:

* read
* lstat64
* lstat
* getdents64
* open

El troyano se conecta a un equipo remoto, que puede ser especificado por el atacante. La forma de indicar ese equipo por parte del atacante es mediante el envio de una petición especialmente manipulada, la cual lleva una clave desde el equipo local o bién desde una shell remota, por ejemplo:

* echo ‘phalanx1!111.222.333.444!PORT[PADDING]‘

El rootkit permite al atacante remoto a ejecutar comandos con todos los derechos del sistema.

Método de Propagación

Carece de rutina propia de propagación. Suele llegar al sistema descargado por otro código malicioso, o descargado sin el conocimiento del usuario al visitar alguna página Web infectada.

SOLUCION

*
o /usr/share/.home.ph1/cb
o /etc/host.ph1/hostname
o /usr/share/.home.ph1/.phalanx
o /usr/share/.home.ph1/.sniff
o /usr/share/.home.ph1/
o /usr/share/.home.ph1/tty/

Para eliminar el troyano, tenemos que eliminar los ficheros que ha creado:

Tenemos que eliminar los directorios que ha creado:
* Es posible que la infección esté más extendida y la forma que aconsejan otros autores, es la reinstalación completa del sistema.

0
0
0
0No comments yet