10/09/01

NOTICIAS

Troyano Remote Shell, sólo para Linux


[Económica]
[Seguridad]
[Nuevos Virus]
[Nuevos Productos]
[Otras noticias]

Los investigadores no coinciden en el poder de destrucción que podría tener este código maligno que permite a intrusos el acceso remoto a los equipos infectados

Cada vez son más los usuarios que confían en las posibilidades de seguridad que ofrece el sistema operativo Linux, pero aunque esta plataforma hasta la fecha se haya visto atacada por pocos virus, no es invulnerable. Recientemente ha aparecido Remote Shell, un troyano de acceso remoto, presumiblemente de origen inglés, que ha sido reportado por la compañía californiana de seguridad Qualys Inc, quien afirma que podría llegar a propagarse más que Code Red, en el caso de que los usuarios ejecutasen los archivos infectados.

Esta opinión, sin embargo, no es compartida por otros expertos en seguridad informática. Por ejemplo, desde Symantec se apunta que el troyano no posee las características de autoreplicación que hicieron posible la propagación de Code Red en Windows y del gusano Lion en Linux, hace algún tiempo. Además, se asegura que nadie puede considerar a Remote Shell como una amenaza para los usuarios de PC´s.

Según Qualys, el troyano se distribuye a través del correo electrónico transportando adjuntos infectados, para luego replicarse a sí mismo en sistemas operativos bajo Linux o bien, puede ser descargado de sitios poco o nada seguros. El código consta de dos componentes, uno con capacidad para replicarse e infectar archivos y otro que deja puertas traseras abiertas (que permiten controlar las conexiones UDP por el puerto 5503 o superiores) para que terceros puedan penetrar de manera remota en el equipo, con el peligro que esto conlleva. Por otra parte, Remote Shell no presenta ninguna característica especial de ocultamiento permitiendo su rápida detección ya que las modificaciones de fecha y longitud que sufren los archivos ELF lo que advierte al usuario de la infección. No obstante, aquí se presenta una paradoja puesto que permite que los archivos sigan operativos, una característica que impide al usuario percatarse de la infección y que le sirve para pasar desapercibido.

Además, cuando infecta un sistema crea un archivo "lockfile" (de nombre "982235016-gtkrc-429249277") en el directorio temporal que indica que esa máquina está o ha estado infectada por el troyano. Una vez que se ha procedido a la infección, el virus se conecta a un site de Reino Unido donde se acumulan las listas de todos los sistemas infectados.

Pero no hay que alarmarse, en estos momentos el FBI y el Servicio de Inteligencia Criminal de Reino Unido se encuentran investigando el caso y Qualys ha desarrollado dos herramientas capaces de descubrir al troyano y limpiarlo del sistema. La primera se conoce como "rst_detector" y la segunda "rst_cleaner". Ambas se pueden descargar gratuitamente del site de la empresa http://www.qualys.com/form_remoteshell.html

En definitiva, Remote Shell es peligroso si el usuario ejecuta los archivos infectados puesto que da privilegios a una tercera persona a que acceda a su máquina. Una vez más se impone la necesidad de recordar a los internautas la necesidad de no abrir archivos ejecutables si antes escanearlos con una solución anti-virus convenientemente actualizada.


Copyright © VIRUSPROT.COM