Ningún operativo es 100% seguro, y este último virus para Linux lo deja bien en claro. El troyano “Linux.BtcMine.1742” aprovecha varias vulnerabilidades del sistema operativo para minar Monero.
Quienes han visto su código indican que es uno de los virus más complejos para Linux. Su proceso para habilitarse y la capacidad de controlar el sistema operativo es increíble, todo esto aprovechando vulnerabilidades conocidas de Linux.
Así opera Linux.BtcMine.1742:
El script de poco más de 1000 lineas comienza a buscar carpetas con permiso de escritura, para guardar los archivos iniciales y descargar allí los módulos necesarios para funcionar. Una vez realizado esto, aprovechando las vulnerabilidades CVE-2016-5195 y CVE-2013-2094 puede fácilmente tomar acceso root en el sistema operativo. El siguiente paso es instalarse como un daemon y descargar nohup si aún no está instalado. También se coloca como autorun en los archivos /etc/rc.local, /etc/rc.d/…, /etc/cron.hourly, y corre como un rootkit de forma automática.
Aquí viene la parte mas interesante. Una vez instalado como daemon y listo para funcionar, primero verifica que no haya otros procesos de minado, y si los hay, los cierra para tener disponible todo el poder de la máquina. Lo mismo hace con los antivirus: Busca las palabras clave safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord, y cierra todo proceso que las tenga.
Por si minar no era suficiente, en las PCs afectadas también se instalará el troyano Bill.Gates. El mismo abre varias puertas traseras del sistema operativo para tomar más información. Esto incluye contraseñas, certificados, credenciales, y más información clave del sistema, que no debería ser accesible.
Todavía no termina: Mediante SSH se obtiene una lista de dispositivos unidos a la red a la que esté conectada la máquina, y el troyano intentará distribuirse a dichos equipos. Al robar credenciales válidas de SSH mediante Bill.Gates, es muy fácil distribuirse, y se cree que este es su principal método de distribución.
Sin dudas es un troyano más que poderoso. Si creen estar afectados, pueden verificarlo con los hash subidos a Github por DoctorWebLtd. Estos son hash de los archivos afectados, y si dan el mismo resultado, es que está corriendo en el sistema.
Fuente: ZDNet