viernes, 3 de diciembre de 2010

Un repaso breve a la aparición de virus en Linux

La creencia popular de que sistemas operativos como Mac o GNU/Linux no tienen virus es falsa. Evidentemente existen y cada día hay más amenazas sobre ellos. Es interesante ver cómo los creadores de malware centran sus esfuerzos en plataformas con un mayor número de usuarios. GNU/Linux también es vulnerable a ciertos programas malware, gusanos y virus tradicionales, por ello os ofrecemos una serie de opciones de seguridad gratuitas (ClamAV, AVG, Avast y F-Prot) y mostramos un pequeño resumen de la historia de virus en GNU/Linux.

1996:
El grupo de crackers VLAD escribió el primer virus GNU/Linux conocido como Staog. Hacía uso de una vulnerabilidad en el kernel que le permitía quedarse como proceso residente y esperar a que un binario se ejecutase. Una vez ejecutado, el virus se añadía al ficero en cuestión. Después de que el virus fuera descubierto, la vulnerabilidad fue solucionada rápidamente. VLAD también fue responsable del virus para Windows 95 Boza.

1997:
El virus Bliss llegó a GNU/Linux como un virus que se adjuntaba a ejecutables del sistema y evitaba que corrieran. Un usuario tení que tener acceso root, por tanto, para que el virus fuese efectivo. A día de hoy Debian sigue mostrándose vulnerable a este virus, aunque la amenaza es mínima ya que los usuarios no suelen trabajar cono root.

1999:
No hubo virus de renombre ese año, pero es cuanto menos curioso el mensaje que fue lanzado en PCs, instando al usuario a instalar Linux. Llegó en plena época de virus Melissa y aparecía un mensaje en el PC que comentaba que el virus Tuxissa iba a instalar Linux, no era más que un mensaje en sí, sin acción posterior.

2000:
Un virus conocido como Virus.Linux.Winter.341 llegó y se introducía en archivos ELF. Dicho formato es el ejecutable en Linux. El virus era muy pequeño, sólo 341 bytes, e insertaba LoTek by Wintermute en la sección de notas del archivo ELF. El virus también permitía el cambio del nombre del ordenador a Wintermute, pero nunca llegó a obtener el control de la máquina para poder conseguir dicho efecto.

2001:
Este año fue bastante movido en el mercado de virus GNU/Linux ya que comenzó con el virus ZipWorm, que se adjuntaba en cualquier archivo Zip que estuviese en el mismo directorio que se ejecutaba. El siguiente fue el virus Satyr que no era dañino, añadiendo en archivos ELF la entrada unix.satyr version 1.0 (c)oded jan-2001 by Shitdown [MIONS], http://shitdown.sf.**. También llegó un virus llamado Ramen que reemplazaba los archivos index.html con su propia versión que mostraba Ramen Crew en la parte superior y un paquete de Ramen Noodles en la parte inferior. Otro de las amenazas Linux de 2001 fue el gusano Cheese que bloqueaba las puertas traseras creadas por el virus Ramen.

2002:
Una vulnerabilidad en Apache sirvió de guía para la creación y expansión del gusano Mughty. El gusano explotaba la vulnerabilidad en el interfaz SSL de Apache que infectaba los ordenadores de manera silenciosa. Tras ello se creaba una conexión a un servidor IRC y se esperaba en un canal a recibir intrucciones / comandos.

2003:
Este año llegaron virus no dañinos como el virus Rike, escrito en ensamblador y que se adjuntaba en archivos ELF. Una vez adjunto extendía el espacio que ocupaba el archivo y escribía RIKE en ese espacio libre.

2004:
De manera similar al virus anterior, llego al mercado el virus Binom que extendía el tamaño del fichero y escribía la entrada [ Cyneox/DCA en ese espacio. El virus se extendía tras la ejecución del archivo infectado.

2005:
El gusano Lupper comenzó a extenderse entre servidores web Linux vulnerables. El gusano buscaba una URL específica y trataba de utilizar un exploit que aprovechaba una vulnerabilidad PHP/CGI. Si el servidor permitía recibir comandos remotos y descarga de archivos, entonces comenzaba la infección y continuaba buscando otros servidores que infectar.

2006:
Apareció una variante del gusano Mighty de 2002 conocido como Kaiten. Abría una conexión a un canal IRD y esperaba comandos para ser ejecutados.

2007:

Un exploit en OpenOffice sirvió para extender un virus conocido como BadBunny. Este virus infectaba Windows, Mac y Linux. El virus creaba un fichero badbunny.py y un script XChat creaba badbunny.pl, un virus Perl que infectaba otros archivos Perl. También hubo un troyando de renombre, Rexob, que una vez en la máquina abría una puerta trasera que permitía la ejecución de código.

2009:
El año pasado hubo un problema para usuarios GNOME que mediante la descarga de “salvapantallas” y otros archivos aparentemente seguros, hospedaban un salvapantallas conocido como WaterFall. Una vez instalado en la máquina abría una puerta trasera que tras la ejecución causaba que la máquina participase en ataques DDoS. Este tipo de ataques afectaron a webs como MMOwned.com.

2010:
Este año llegó el gusano koobface que se extendía a través de redes sociales y tenía como objetivos equipos Windows, Mac y más recientemente GNU/Linux. Una vez infectado el equipo, el virus trataba de conseguir información de login de FTPs y redes sociales. Una vez que la contraseña queda comprometida, el virus enviaba un mensaje infectado a todos tus contactos.

Evidentemente esta es una lista incompleta, no son todos los virus existentes -claro está- pero si es una pequeña muestra de la existencia de virus y gusanos para GNU/Linux. Con ello queremos decir que un análisis del sistema de vez en cuando no hace daño a nadie, y habiendo opciones gratuitas (ClamAV, AVG, Avast y F-Prot) no hay excusa para no hacerlo.

No hay comentarios:

Publicar un comentario