Generales Linux comandan soldados Windows
Los administradores suelen pensar que los sistemas Linux son aprueba de balas, pero una vez comprometidos, estos sistemas son una pieza muy valiosa para los criminales
–Que existen miles, por no decir millones, de PC comprometidos en las famosas netbots o redes de PC zombi no es nada nuevo. Pero descubrir que existen unos cientos o miles de sistemas Windows comandando esos ejércitos, sí es algo que llama la atención.
Si se piensa bien es algo que tiene sentido. Gran parte de los sistemas Windows son máquinas de oficina u hogar que se suelen apagar durante varias horas todos los días, haciéndolas inútiles para comandar un ataque. Por su lado, muchos sistemas Linux son usados como servidores y permanecen encendidos y conectados a internet todo el día.
El virus en cuestión fue revelado por primera vez hace ya seis años atrás y es conocido por su capacidad de transformarse a sí mismo (mutar). El virus Linux.RST.B infecta en el directorio de trabajo sus archivos ejecutables, crea una puerta trasera al abrir un puerto (socket) de comunicación y empieza a escuchar por allí hasta que capta un paquete que contiene las direcciones de los atacantes y el comando que debe ejecutarse.
Billy McCourt, director de investigación de la firma de seguridad Sophos Labs, de Reino Unido, dice que los sistemas Linux son presas muy valiosas como controladores de las netbots, debido a que generalmente permanecen en línea, actuando como servidores. “Un ejercito de bots, de manera similar a los ejércitos reales, necesita un general e infantería, y las cajas con Linux son usadas generalmente como servidores, lo que significa que están encendidas casi todo el día --algo esencial para un punto de control central”, dijo el experto.
“Tenemos varias trampas de señuelo (honeypots), y como usted puede esperar, los señuelos de Windows son atacados más frecuentemente que los de Linux, pero el malware para Linux es mucho más interesante”, añadió.
McCourt señala que este virus, descubierto en 2002, es único, ya que puede replicarse entre las distintas distribuciones actuales.
Para muchos es el tiempo en línea que permanecen estos servidores lo que los hacen más atractivos para los hackers. Los ataques a estos sistemas suelen realizarse en los servicios de FTP, IRC, SSH y UDP, e intentan lograr un acceso de administrador usando varias técnicas, pero lo más común es que descubran una contraseña y nombre de usuario, débiles y mal elegidos.
Además, los hackers se aprovechan de que los administradores suelen pensar que sus sistemas son a prueba de todo, y la poca presencia de malware que os afecta parece confirmar esta teoría.
En caso de haber sido infectados, Symantec recomienda reinstalar el sistema operativo completo, ya que no se puede tener certeza de las modificaciones causadas por el virus, ya que el autor del virus ha podido usar su acceso al sistema para modificar lo que haya querido, según un comunicado publicado en su sitio web de respuestas (http://www.symantec.com/security_response/writeup.jsp?docid=2004-052312-2729-99)
Mientras tanto, Sophos ofrece una herramienta gratuita para eliminar el virus en sistemas que estén libres de otros tipos de malware.
(Fuente: ComputerWorld EE UU)
Publicar un comentario