Versátil puerta trasera de Linux que actúa como downloader

Otro troyano de Linux ha sido descubierto por invetigadores, es uno muy versátil: abre una puerta trasera (backdoor) dentro del dispositivo infectado, puede descargar y ejecutar archivos maliciosos, puede espiar a usuarios por medio de las pulsaciones de teclas y hacer capturas de pantalla.

Los investigadores de Dr. Web apodaron a este malware Xunpes, dicha muestra contiene 2 componentes: un dropper genérico y una puerta trasera, este último se almacena dentro de la carpeta /tmp/.ltmp después de que el dropper es lanzado.

“Un vez lanzado, el backdoor escrito en C descifra la configuración del archivo usando la llave que está ofuscada en el cuerpo. La lista de parámetros de configuraciones incluye un lista de servidores C&C (Command and Control), direcciones de servidores proxy e información necesaria para la correcta operación del programa malicioso. Después de eso, el troyano establece conexión con el servidor y espera por las órdenes de los cibercriminales”, explican los investigadores.

El troyano puede estar hecho para ejecutar más de 40 comandos enviados por el atacante. Entre estos se encuentra descifrar futuros comandos desde el servidor, descargar archivos y ejecutarlos, finalizar la ejecución del backdoor, crear, abrir, copiar, renombrar y borrar los archivos y carpetas, ejecutar comandos de bash, generar eventos de pulsación de tecla y liberación de botón, tomar captura de pantalla, registrar las pulsaciones del teclado, enviar todo esto al servidor C&C y mucho más.

Es interesante notar que el dropper también muestra un cuadro de inicio de sesión curioso, pide al usuario que introduzca su nombre de usuario y contraseña.

Ver informacion original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2708