| Los
sistemas informáticos Linux corren un grave peligro ante la
aparición de un nuevo gusano denominado "Lion", que
explota una de las muchas vulnerabilidades de Berkeley Internet
Name Domain Server (BIND DNS), en las versiones 8.2, 8.2-P1,
8.2.1, 8.2.2-Px y en todas las betas 8.2.3. De forma similar al
ya conocido "Ramen",
"Lion" escanea la Red a la búsqueda de sistemas Linux
vulnerables, pero su carga es mucho más peligrosa que la de su
predecesor.
El gusano, una vez localizado un sistema Linux, utiliza la
vulnerabilidad de BIND en el Transaction Signatures Buffer
Overflow (TSGI). Mediante la capacidad denominada "name"
crackea el sistema e instala el rootkit
"t0rn", que reemplaza los binarios du, find, ifconfig,
in.telnetd, in.fingerd, login, Is, mjy, netstat, ps, pstree y
top. Tras infectar el sistema roba el archivo de claves y
esclaviza el equipo infectado, que a su vez rastrea la Red para
buscar más PC's vulnerables e infectarlos, usando una
herramienta denominada "randb" que localiza redes de
clase B con escuchas a través del TCP port 53.
Una vez infectado el sistema, "Lion" sigue
realizando más acciones graves sobre éste.
El Instituto SANS ha alertado sobre este virus, que al
parecer comenzó su ataque de forma totalmente silenciosa a
finales de febrero, en una primera fase que no levantó ningún
tipo de alarma. Ahora, "Lion" ya ha sido identificado
y puede iniciar su difusión masiva, aunque SANS no ofrece
todavía datos sobre su presencia "in the wild". Por
su parte, el National Infrastructure Protection Center (NIPC)
del FBI sí ha declarado que "Lion" ya está
infectando PC's e instalando Denegaciones de Servicio
Distribuidas (DDoS) en varios sistemas, tal y como recoge
theregister.com.
Más información en http:www.sans.org. |
