Linux.Ekoms.1: mal troyano, mejor programa

horror

Dr Web, la compañía rusa líder en producir noticias sobre virus para Linux, nos acaba de presentar un nuevo troyano llamado Linux.Ekoms.1, capaz de ejecutar comandos en el sistema y descargar archivos de forma remota, cifrarlos mediante AES con clave pública RSA, además de realizar capturas de pantalla o sonido cada medio minuto.

Para ello una vez instalado el troyano (un pequeño detalle sin importancia…), comprueba si existen un par de archivos en nuestra configuración personal de mozilla o dropbox:

HOME/$DATA/.mozilla/firefox/profiled
HOME/$DATA/.dropbox/DropboxCache

y en caso de que no existan los crea (y si amigos…también me llamo la atención lo de “DATA”), para guardar allí la información sensible robada, que se envía a un servidor externo.

Ahora la pregunta es la de siempre ¿como podemos juzgar esto en términos de seguridad? ¿Y cual es la diferencia de este programa con funciones tan interesantes, respecto a herramientas para compartir y capturar el escritorio (a mi me recuerda bastante a TeamViewer…la verdad), que hacen cosas similares?

Bueno en ese punto creo que es importante mencionar el vector de ataque e infección, algo de lo que las compañías vendedoras de antivirus suelen “olvidar” mencionar en el caso de Linux.

Salvo prueba en contrario habría que descargarse el software, darle permisos de ejecución y lanzarlo como cualquier otro programa…eso en el mejor de los casos, porque tampoco descartemos que haya que compilarlo previamente, existan problemas de dependencias en nuestra distro (los que probamos programas a diario, sabemos que eso es muy posible) o incluso como último remedio haya que ejecutarlo como root.

Bueno…la inmensa mayoría de los linuxeros utilizamos los repositorios oficiales y comunitarios que provee nuestra distribución, y son contados los casos de programas que son instalados desde proveedores externos (por lo demás la recomendación siempre es ir a la web oficial y en caso de proyectos nuevos, echarle un vistazo al código fuente en caso de ser posible), así que el tema de la infección con Linux.Ekoms.1, la verdad lo veo complicado.

Significa esto que Linux sea invulnerable, no ni mucho menos…Ayer mismo se hizo publica una grave vulnerabilidad en el kernel que permitía escalada de privilegios y que las principales distribuciones ya han parcheado (eso si…la mayoría de usuarios de Android que dependen de las actualizaciones que provee el fabricante, lo tienen muy complicado), lo que demuestra que en la seguridad del kernel se pueden hacer las cosas mejor, tal como comentamos no hace mucho.

A lo que iba el artículo, es que esta es la típica noticia que se limitan a repetir los medios generalistas porque “vende mucho”, haciendo copy-paste de la nota oficial del vendedor de burras de turno y sin ningún espíritu crítico (lo del desconocimiento del sistema, en la mayoría de los casos también se les supone…), algo que podría confundir a muchos recién llegados a Linux o personas que están pensando en cambiarse al sistema del pingüino.

Así que para darle algo de credibilidad al asunto, hay que separar lo que realmente puede ser un problema de seguridad serio (de los que el software libre no está exento), de las denominadas pruebas de concepto o estos troyanos asustaviejas.

Puede que esté equivocado, pero mi opinión es que por ahora:

Los troyanos en Linux todavía no están listos para el escritorio

PD: Gracias al amigo Felipe por ponernos al tanto de esta noticia en los comentarios del blog.

Imagen | wolfgangfoto (CC BY-ND 2.0)

25 thoughts on “Linux.Ekoms.1: mal troyano, mejor programa”

  1. sli says:

    Gracias por el post. La verdad que tienes demasiada razón. Cuando sale algo para un sistema privativo ni se habla de ello y se la de poca importancia y cuando en nuestro sistema sale algo es e lfin del mundo para los linuxeros.

    1. tannhausser says:

      Cierto, ya están tardando los comentarios tipo “es que ningún sistema está libre de virus”, eso equivale en informática al “es que todos los partidos son corruPPtos” de la política 🙂

  2. fein says:

    Los Linuxeros además, lo somos por principios, algo de lo que carecen todos estos “parlantes”.

  3. Felipe. says:

    Replicante , gracias por la mención.Le di cierta importancia a la noticia por lo qué usted dice ,el troyano se mete con ciertos archivos como es el caso de DATA , de lo contrario no le hubiera prestado ninguna atención.

    1. tannhausser says:

      De nada Felipe, gracias a ti por la información 🙂

  4. victorhck says:

    > troyanos asustaviejas.

    JAJAJAJAJAJAJA 🙂

    1. tannhausser says:

      Son los más letales XD

  5. D'Artagnan says:

    Ya están los rusos atacando. Algo tendremos que inventar nosotros. . .

    1. tannhausser says:

      Llamadme antipatriota, pero si la cosa va a mas y tengo que elegir entre ponerme del lado de Rajoy o de Putin, mi decisión está clara

  6. mantisfistjabn says:

    Como suelo deicr, para caer en este tipo de situaciones, tal como dice Tannhausser, tendríamos que pasar por todo un proceso que sólo una persona muy descuidada (o muy tonta) llevaría a cabo. Y tomando en cuenta que la mayoría (que no todos) de los que usan GNU/Linux son usuarios con al menos algo de conocimiento de informática, dudo que tenga alguna repercusión real.

    1. tannhausser says:

      ya solo les falta decir que se puede descargar desde softonic XD

  7. laegnur says:

    Buenas

    Es correcto lo de HOME/$DATA/.mozilla/firefox/profiled (aparte de lo del $DATA)?… No me sonaba de nada y lo acabo de comprobar, el archivo de perfiles de firefox es profiles.ini, no profiled. Que se supone que hace con eso? Es un typo, o el programador del virus/autor de la noticia original no tenia ni idea?

  8. x-man says:

    Ahora que ya tengo un poquito, solo un poquito mas de idea de como funciona GNU/Linux, estas “”noticias”” si es que se pueden llamar así, solo me recuerda el vídeo del Sr. que dijo que había un Navegador que se llama Linux, pero que no funciona, …me gustaría ver el vídeo otra vez para reír un poco mas, pero no lo encuentro, …es que los medios lo único que hacen hoy día es, “Ctrl+c” — “Ctrl+v”, LOL.

    Gracias a Felipe y a Tannhausser, por compartir. …si hay un error tipográfico en el nombre “Tannhausser”, …culpad a su dueño, yo solo Copy-Paste LOL.

    1. victorhck says:

      amigo x-man no buscas en el sitio adecuado… si quieres ver el vídeo, yo lo subí a YT, y lo publiqué en el blog…
      https://victorhckinthefreeworld.wordpress.com/2014/12/14/linux-la-alternativa-a-google-como-buscador-de-internet/

      Con el permiso del replicante pongo por aqui el link 😉

      1. x-man says:

        Gracias Victor.

  9. karlggest says:

    Hola.

    En buena parte de los sistemas Android se incluyen otras herramientas, así que la vulnerabilidad comentada de pasada no afectaría por ejemplo a Android >= 4.3.

    https://source.android.com/security/selinux/

    Sobre el artículo actual, bien, una vulnerabilidad grave en Linux es fácilmente leída por miles de usuarios y replicada una y otra vez. Si quieres publicar algo que se haga viral, es un gran tema.

    1. tannhausser says:

      Pues si! tienes razón, la vulnerabilidad afecta a menos usuarios de los que pensaba

      https://plus.google.com/u/0/+AdrianLudwig/posts/KxHcLPgSPoY

  10. Rotietip says:

    “Y tomando en cuenta que la mayoría (que no todos) de los que usan GNU/Linux son usuarios con al menos algo de conocimiento de informática, dudo que tenga alguna repercusión real.”
    Hace 5 o 10 años podría haberte dado la razón, pero hoy en día a Linux están llegando cada vez mas usuarios sin mucha idea de ordenadores (los típicos que solo usan el navegador para Facebook, Youtube, ver porno y alguna cosa mas) por lo que cuando haya suficiente “masa critica” de estos usuarios para los que valga la pena hacer virus y troyanitos bancarios, entonces ya no estarán tan confiados.
    Ahora bien, ¿como debería hacerse un virus para que funcione como debe en Linux? Pues resulta que tengo algunas previsiones e ideas de como lo podrían terminar logrando:
    * Enfocarse en distribuciones que solo use el populacho (como Ubuntu y alguna que otra derivada, en especial si el proyecto de Ubuntu Phone llega a buen puerto).
    * Uso de ingeniería social para convencer al usuario haciéndose pasar por:
    ** La nueva versión que todavía no salio de un programa X.
    ** Una beta exclusiva para desarrolladores/usuarios premium.
    ** Un programa legitimo troyanizado al que aseguran haberle agregado nuevas funcionalidades, ya sea por que al autor original no le da la gana incluir o por otro motivo (¿se acuerdan del problema con Thunar y los paneles dobles?, allí hubo un posible vector de ataque desperdiciado).
    ** Los cracks de toda la vida: No suena tan descabellado si algún día una buena cantidad de corporaciones les llega a interesar portar su software de pago a Linux para los cuales todavía no existen buenas alternativas, (como títulos de juegos AAA, AutoCAD o programas que interactúan con el hardware, tales como Speedfan o similares).
    ** El punto anterior también deja abierta la posibilidad para que se hagan pasar por “ports” de Photoshop o AutoCAD para Linux (los n00bs impacientes que hacen uso exhaustivo de estos programas no se darían cuenta hasta que fuera muy tarde).
    * Para el tema de las dependencias no hace falta pensárselo demasiado, he aquí algunas posibles soluciones para facilitar su propagación:
    ** Un “portable” (como Popcorntime, iCup o la ultima pre-alfa de Krita), la ventaja de esto es que no hace falta instalar nada para que funcione, el único problema es que este tipo de ejecutables terminan pesando alrededor de 100 MB por todas las librerías que les meten dentro.
    ** Que el virus sea un script en Python, Bash o una mezcla de ambos. El inconveniente aquí es que primero hay que darle permisos de ejecución para que funcione (nada que no se pueda lograr con algo de ingeniería social bien aplicada 😉).
    ** Dentro de un paquete deb/rpm: ya que Gdebi (o el instalador de turno) se encarga de resolver dependencias e instalar todo automáticamente; si se lo piensa bien, esta parece ser la mejor forma para distribuir virus.

    Es obvio que la tecnología y los medios para hacer virus eficaces en Linux existe, si nadie se ha tomado esto en serio hasta ahora es por que no han querido.

  11. Anónimo says:

    “Salvo prueba en contrario…” ¿?

  12. pepe says:

    Yo veo que los navegadores actuales tienen apis que se integran con el hardware y perifericos como microfonos, USB y cámaras y no necesitan permisores especiales. ¿esto puede ser aprovechado por virus para entrar al sistema sin necesitar permisos de root.?

    ahora con todo orientado en la nube el propio navegador es un pequeño sistema operativo con permisos en el hardware, y apis como WebRTC que están instaladas por defecto se ha visto que son vulnerables

    1. Guille says:

      Para evitar virus en navegadores, o que si entra un virus por el navegador no te mire contraseñas o afecte al resto de complementos, etc. pues simplemente usa un script para crear un profile temporal cuando vayas a visitar sitios inseguros (porno, cracks, torrents, …): http://blog.desdelinux.net/como-crear-un-perfil-temporal-en-google-chromechromium/

      1. Rotietip says:

        ¿No es mas fácil instalar NoScript e ir permitiendo el Javascript en sitios de confianza? Lo de los perfiles extra lo dejaría para probar extensiones y cosas así.

    2. pepe says:

      Muy buenos datos, gracias

  13. sechole says:

    Es que nadie se dio cuenta que esto es un bolazo grande.
    Del sitio original donde hace una descripción de lo que hace, hay varias cosas que no cierran. La mas llamativa es:


    EkomsCcClient:

    It generates a filtering list for the “aa*.aat”, “dd*ddt”, “kk*kkt”, “ss*sst” files that are searched in the temporary location and uploads the files that match these criteria to the server. If the answer is the uninstall line, Linux.Ekoms.1 downloads the /tmp/ccXXXXXX.exe executable file from the server, saves it to the temporary folder and runs it.”

    Aca mezcla churros con merinas, que tiene que ver un exe de Windows en todo esto?

  14. armando says:

    Los unicos afectados por dicho troyano aun que ya esta parchado en alguanas destribuciones seran los usuarios de linux con poco conosimiento que usualmente ocupan los sistemas mas populares y comodos Ejemplo: Ubuntu, Linux Mint, Elementary OS, Open SUSE. Dependera del tipo de seguridad que tomes el navegar y usar repositorios.

    Por eso prefiero GNU/Linux Debian, Red Hat Enterprise Linux, etc. Con arquitecturas firmes y potentes en mi la mas estable que he experimantado es Debian.

Deja un comentario