Al parecer ha sido el administrador de una web el que dio la voz de alarma, al descubrir que sus paginas redireccionaban a los visitantes a otros sitios infectados, afectando a los usuarios de Windows. Una vez comprobado, se descubría que este intruso era capaz de trabajar a nivel de root con nginx en servidores con Debian Squeeze de 64 bits y el kernel 2.6.32-5.
Aunque no es la primera vez que ocurre algo parecido, la noticia sobre el descubrimiento del rootkit, tiene dos novedades que podríamos considerar poco menos que “originales”, la primera sería que este “bicho” es capaz de ejecutarse directamente desde el Kernel, sobrescribiendo partes del mismo, ya que es donde instala su modulo. El siguiente hecho es que probablemente esté desarrollado por un novato en este área.
¿Por que decimos esto?. Pues fundamentalmente y aunque parezca que su creador debe ser un gran experto, el rootkit no se oculta como es debido para no ser detectado, añade iframes a la web atacada que redirigen hacía paginas sospechosas y que cualquier usuario de la misma puede ver fácilmente y por último contiene toda la información de debug dentro del programa.
Aunque no es la primera vez que ocurre algo parecido, la noticia sobre el descubrimiento del rootkit, tiene dos novedades que podríamos considerar poco menos que “originales”, la primera sería que este “bicho” es capaz de ejecutarse directamente desde el Kernel, sobrescribiendo partes del mismo, ya que es donde instala su modulo. El siguiente hecho es que probablemente esté desarrollado por un novato en este área.
¿Por que decimos esto?. Pues fundamentalmente y aunque parezca que su creador debe ser un gran experto, el rootkit no se oculta como es debido para no ser detectado, añade iframes a la web atacada que redirigen hacía paginas sospechosas y que cualquier usuario de la misma puede ver fácilmente y por último contiene toda la información de debug dentro del programa.
Aún así descubrir que este tipo de software malicioso pueda trabajar directamente en un servidor Linux, es preocupante y es una muestra de que este tipo de sistemas son cada día más interesantes para los hackers. A partir de aquí los rumores se han disparado e incluso hay quien sospecha del crimen organizado ruso.
Dejando de un lado las “conspiranoias”, las compañías de detección de virus se han puesto a trabajar para añadir la detección a sus sistemas, entre las que podemos encontrar a Kaspersky Lab, que ha sido quien le ha puesto nombre a la criatura, “Rootkit.Linux.Snakso.a“.
Como podemos ver en la web virustotal.com, Snakso, no ha sido muy prolífico y solo es detectado por seis motores de los 43 de que disponen:
Dejando de un lado las “conspiranoias”, las compañías de detección de virus se han puesto a trabajar para añadir la detección a sus sistemas, entre las que podemos encontrar a Kaspersky Lab, que ha sido quien le ha puesto nombre a la criatura, “Rootkit.Linux.Snakso.a“.
Como podemos ver en la web virustotal.com, Snakso, no ha sido muy prolífico y solo es detectado por seis motores de los 43 de que disponen:
Si estáis interesados en conocer más detalles acerca de Rootkit.Linux.Snakso.a, en el blog crowdstrike.com han hecho un excelente análisis sobre todo lo referente a él.
Fuente: Linux Zone
Fuente: Linux Zone
No hay comentarios:
Publicar un comentario