Dr. Web detecta un nuevo troyano llamado Linux.Ekocms.1

Seguridad Informática

Dr. Web, la compañía rusa dedicada a la seguridad informática, ha detectado un nuevo malware que afecta a sistemas basados en Linux, en esta ocasión se trata de un troyano llamado Linux.Ekocms.1. Una amenaza que incluye funcionalidades para tomar imágenes o capturas del usuario víctima, además de poder grabar audio captado en la máquina infectada. Sin duda algo que compromete la seguridad y privacidad.

El troyano Linux.Ekocms.1 fue descubierto hace unos días y se trata de la última amenaza detectada para los equipos con distribuciones Linux que se ha detectado por el momento. Últimamente hemos visto como este tipo de malware para Linux ha crecido, pero aun no se puede comparar con el existente para Windows ni de lejos (y no lo digo con el ánimo de atacar a Microsoft, pero el número es de malware para Windows es infinitamente superior). Ahora gracias a Dr. Web se conoce esta amenaza y se puede combatir.

Dr. Web ha informado de que se trata de un malware de la familia del spyware, un troyano que está diseñado para capturar una imagen de pantalla cada 30 segundos permitiendo así tener información del escritorio de la víctima. Estas imágenes son guardadas casi siempre en los mismos dos directorios, aunque si no existen el troyano puede crear su propio directorio para guardarlas si es necesario. pero no es lo único que hace, también puede captuar sonidos por el micrófono y pasar toda la información a un servidor remoto en intervalos de tiempo.

Si tienes DR. Web instalado en tu equipo, podrás detectarlo si has actualizado la base de firmas de tu sistema de detección. Si no cuentas con este software, también puedes comprobar si estás infectado por Linux.Ekocms.1, ya que basta con mirar si existen los dos directorios donde se guardan las capturas (ver abajo), donde debe haber ficheros en formato JPEG o BMP (éste último formato usado cuando aparece un error) y con nombres que contienen la fecha y hora de la captura.


-$HOME/$DATA/.mozilla/firefox/profiled

-$HOME/$DATA/.dropbox/DropboxCache


Categorías

GNU / Linux, Noticias
Etiquetas

Isaac P. E.

Soy un apasionado de la tecnología y me encanta compartir, pero sobre todo aprender cada día más. Me gusta todo lo que tenga que ver con la ciencia y leer sobre esta temática. En mi tiempo libre escribo un libro sobre microprocesadores, mi tema favorito. También me gusta realizar diseños electrónicos en Basic Stamp, Arduino, además me encanta jugar con Linux. Algunos de mis estudios son: - Módulo superior de electrónica y microelectrónica. - Módulo de domótica. - Experto en gestión medioambiental en la empresa. - Técnico en prevención en la industria. - Técnico en montaje y reparación de ordenadores. - Técnico en reparación de portátiles. - Técnico en redes informáticas. - Curso GNU/Linux. Otros conocimientos: inglés, ofimática, programación en diversos lenguajes (C, KOP, VHDL, PBASIC, Arduino y HTML), conocimientos avanzados de Windows y Linux,...

10 comentarios

  1.   Rubén dijo

    Esa ha sido mi duda siempre con Linux, está claro que hay muchos menos virus que para Windows y que es difícil infectarse, pero ¿y si pasa? ¿como nos enteramos?

    1.    Javier VG dijo

      aunque no se necesitan tanto, ya hay antivirus para linux

  2.   Marco dijo

    Cómo se infecta mi sistema por el navegador?
    Cómo obtiene los permisos para que se ejecute y haga sus funciones de crear su carpeta y captura de pantalla, audio, etc…?
    Se instala de algún repositorio o infectaron los repositorios de las distribuciones?
    Se instala desde un archivo en especial?
    O lo instala el mismo antivirus dr.web.

    1.    Rubén dijo

      Ya, tengo Clam instalado pero tenía entendido que sólo detecta los virus para Windows.

    2.    Carlos S dijo

      Primero que nada gracias por la noticia, siempre es bueno estar al tanto de lo que pasa.

      Luego debo preguntar lo mismo que Marco, como es el medio de infección? ya que en el reportaje no menciona nada de eso, y me parece muy feo que simplemente se limiten a decir si tienes antivirus XXX no te dará a ti, esa es la razón por la que me migre a linux, por que acá es la comunidad la que lidea con la seguridad del sistema, no ninguna empresa hambrienta de crear mercado donde no han podido crear como son las compañías de antivirus, si puedes responder a eso(me refiero al que publico la noticia) quedare satisfecho, sino simplemente estas intentando que mas gente use antivirus en linux, cuando no hay una razón para usarlos y tu noticia para mi sera amarillista, no soy tan ingenuo para comerme todo de primera mano sin preguntar ni investigar.

  3.   unsigned char* dijo

    Tras intentar saber algo más acerca de este virus…. poco más se puede decir… los de Dr.Web no han dicho como se llegan a infectar los equipos :\ … respecto al tema de la grabación de audio comentan que no han visto que realmente se este usando.. luego comentan que se descarga un .exe para ejecutarlo… no se si es que le ponen .exe para despistar y realmente es un binario valido para linux…

    Mas info: http://vms.drweb.com/virus/?i=7924647

  4.   bufalo1973 dijo

    Pedazo peligro… al que se le puede joder con hacer un mkdir $HOME/$DATA/.mozilla/firefox/profiled $HOME/$DATA/.dropbox/DropboxCache&&sudo chmod 0000 $HOME/$DATA/.mozilla/firefox/profiled $HOME/$DATA/.dropbox/DropboxCache

    Y si quieres mejorar lo anterior, creas un usuario (p.e., pepito) y haces sudo chown pepito $HOME/$DATA/.mozilla/firefox/profiled $HOME/$DATA/.dropbox/DropboxCache

    Si es “tan” complicado de detectar es igual de fácil de eliminar o, al menos, detener.

  5.   bufalo1973 dijo

    Medio corrijo mi anterior comentario:

    touch ~/.dropbox/DropboxCache ~/.mozilla/firefox/profiled&&chmod 000 ~/.dropbox/DropboxCache ~/.mozilla/firefox/profiled&&sudo chown root ~/.dropbox/DropboxCache ~/.mozilla/firefox/profiled

    Que me digan los de Dr. Web si haciendo eso sigues corriendo algún peligro

  6.   enserio dijo

    Tiene razón Carlos no explican como se contamina el so y es la segunda vez que colocan en este blog una noticia así sin fundamentos.
    Creó que nos están tratando de vender el antivirus. Mejor deberían llamarle al blog adictos a Dr.web.

  7.   Joaquin García dijo

    Hola, lo primero agradecer que nos leais y nos sigais como veo en algunos. Respecto a la noticia, no somos los únicos que nos hacemos eco de ello, ya que ha aparecido en varios medios y aunque parezca que se promociona ese antivirus, la realidad es que no, si todo el equipo usa Gnu/Linux es entre otras cosas porque es más seguro que Windows. Se desconoce aún como se contamina pero para asegurarnos de no tenerlo o de saber si lo tenemos con ir a Monitor de sistema y ver los procesos que se ejecutan se sabe. Es algo que en Windows no se puede saber. Gracias por leernos!!!

Escribe un comentario