Symantec acaba de publicar la identificación del primer troyano desarrollado para atacar en sistemas basados en GNU/Linux, al cual se lo conoce como Linux.Phalax.
Linux.Phalax es el nombre del primer troyano descubierto contra Linux, el cual tiene un comportamiento de rootkit y podría ser capaz de ejecutar comandos del sistema operativo desde equipos remotos.
Descubierto por el laboratorio de Symantec el troyano no sería muy peligroso y resultaría relativamente fácil el proceso para limpiar una máquina infectada, sin embargo lo más llamativo es que por primera vez se descubre un troyano diseñado para atacar sistemas Linux.
El troyano crea los directorios
• /usr/share/.home.ph1/
• /usr/share/.home.ph1/tty/
y los ficheros
• /usr/share/.home.ph1/cb
• /etc/host.ph1/hostname
• /usr/share/.home.ph1/.phalanx
• /usr/share/.home.ph1/.sniff
Y oculta su presencia al sistema conectando a los siguientes syscalls del Sistema operativo:
• read
• lstat64
• lstat
• getdents64
• open
Luego se conecta a un equipo remoto, previamente especificado por el atacante, el cual podrá ejecutar comandos con todos los derechos del sistema.
Para eliminar al troyano se necesita eliminar los ficheros y directorios creados por el mismo y en algunos casos es recomendable incluso reeinstalar todo el sistema.
Fuentes:
http://www.mundonex.com//index.php?option=com_content&task=view&id=867&Item id=31
A los que no les basta una fuente por que les duele que le toquen a linux:
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-080515-2257-99http://alerta-antivirus.inteco.es/virus/detalle_virus.html?cod=8034