Linux Tsunami para Mac OS X
octubre 26, 2011 5:28 pmLos sistemas Linux y Mac, siempre se caracterizaron, entre otras cosas, por tener mayor seguridad en relación a los ataques de los creadores de malware. Esto se debe a que el mayor porcentaje de los usuarios a nivel mundial poseen las distintas versiones de los sistemas Windows, por lo que les es más conveniente generar amenazas para estos sistemas, y así garantizar una mayor propagación del código malicioso. Por esto es que muchos usuarios de los sistemas Linux o Mac no creen necesaria la protección de sus sistemas.
Esto es un error de conceptos, debido a que sí se genera malware para estos últimos dos sistemas, así no exista un gran número de amenazas como lo es para Windows. Debido a esto siempre es indispensable, para mantener un gran porcentaje de seguridad, contar con una solución antivirus con capacidad de detección proactiva sin importar el sistema operativo que se esté utilizando.
Un ejemplo de un ataque dirigido a plataformas Linux es una amenaza detectada por ESET NOD32 Antivirus en el año 2002 como Linux/Tsunami. Esto puede no parecer novedad para muchos, debido a la antigüedad de la muestra, pero actualmente el equipo de ESET localizó una muestra que es un derivado de esta última amenaza. La muestra abre una puerta trasera de IRC controlada, lo que deriva a convertirse en un equipo zombi, es decir, a formar parte de una red botnet para realizar ataques de DDoS (Denegación Distribuida de Servicios). Lo interesante de esta nueva amenaza, es que se encuentra desarrollada para la plataforma Mac OS X y es detectada por ESET NOD32 Antivirus como OSX/Tsunami.A.
La muestra analizada contiene una lista de servidores IRC y canales a los que intenta conectarse, para lo que luego escucha e interpreta los comandos enviados por el canal. En la imagen a continuación podrán observar los comandos aceptados:
Adicionalmente esta puerta trasera puede ser utilizada para la descarga de otro código malicioso y actualizaciones de código de Tsunami. Este malware también puede ejecutar comandos de la shell, lo que le permite al botmaster controlar completamente el equipo infectado.
En resumen, es importante remarcar que todos los sistemas operativos poseen vulnerabilidades, y contar con una solución antivirus con capacidad de detección proactiva, sea cual sea el sistema que se utilice.
Actualización 27/10 12:55 hs.:
El día de ayer el Laboratorio de ESET, anunció el descubrimiento de una amenaza botnet para plataforma Mac OS X. Hoy el equipo ha encontrado una nueva versión de esta amenaza, la cual es muy similar a la anterior versión, pero con dos cambios importantes en su funcionamiento.
El primer cambio encontrado en esta versión, es que posee la habilidad de copiarse a sí mismo en el siguiente directorio /usr/sbin/logind. Adicionalmente crea el siguiente archivo bajo el nombre de com.apple.logind.plist en /System/Library/LaunchDaemons para asegurarse que el código malicioso, se ejecute en cada inicio del sistema:
El segundo cambio encontrado en relación a la muestra analizada el día de ayer, es que posee una nueva dirección de servidor IRC, desde el cual es controlado este malware, y también posee un nuevo canal, a través del cual son enviados los comandos a las maquinas zombis.
A pesar de que las muestras provinieron de dos países distintos ubicados en distintos continentes, nuestros reportes nos indican que actualmente existen pocos equipos infectados con esta amenaza.
Debido a esto último, creemos que el malware se encuentra en una etapa de prueba, posiblemente adaptando todavía el código, que fue originalmente creado para Linux, para una compatibilidad completa para Mac OS X.
Gonzalo Presa
Analista Jr. de Seguridad
Promedio: 4.38
19-1-2012 a las 9:51 pm
Gracias por su ayuda! me quitaron la duda que si en Mac no entraba virus……
21-11-2011 a las 11:41 pm
[...] Para más información sobre el descubrimiento de Tsunami para Mac OS puede visitar el Blog de Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2011/10/26/linux-tsunami-para-mac-os-x/ [...]
14-11-2011 a las 1:17 pm
[...] Para más información sobre el descubrimiento de Tsunami para Mac OS puede visitar el Blog de Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2011/10/26/linux-tsunami-para-mac-os-x/ [...]
4-11-2011 a las 2:52 am
[...] Para más información sobre el descubrimiento de Tsunami para Mac OS puede visitar el Blog de Laboratorio de ESET Latinoamérica: blogs.eset-la.com [...]
4-11-2011 a las 2:44 am
[...] Para más información sobre el descubrimiento de Tsunami para Mac OS puede visitar el Blog de Laboratorio de ESET Latinoamérica: blogs.eset-la.com [...]
2-11-2011 a las 12:17 am
[...] Tsunami es el nombre dado a esta nueva amenaza, la cual en su primera versión solamente afectaba a los sistemas operativos Linux. En esta reciente muestra encontrada, esta vez está enfocada para usuarios de Mac OS. Una vez residente en el equipo de la víctima, este malware pasa a formar parte de una botnet. Esta red de computadoras zombis, puede ser utilizada para ataques de DDoS (Denegación Distribución de servicios). [...]
1-11-2011 a las 4:40 pm
[...] Tsunami es el nombre dado a esta nueva amenaza, la cual en su primera versión solamente afectaba a los sistemas operativos Linux. En esta reciente muestra encontrada, esta vez está enfocada para usuarios de Mac OS. Una vez residente en el equipo de la víctima, este malware pasa a formar parte de una botnet. Esta red de computadoras zombis, puede ser utilizada para ataques de DDoS (Denegación Distribución de servicios). [...]
1-11-2011 a las 11:02 am
[...] Para más información sobre el descubrimiento de Tsunami para Mac OS puede visitar el blog de Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2011/10/26/linux-tsunami-para-mac-os-x/ [...]
1-11-2011 a las 10:22 am
Para poder eliminar esta amenaza deberás contar con un producto antivirus, como ESET NOD32 Antivirus 4 para Linux Desktop, actualizado a su última versión de base de firmas y realizar un escaneo. En caso de presentarse algún inconveniente puede contactar su proveedor o a nuestro centro de soporte técnico.
29-10-2011 a las 2:11 am
[...] Para más información sobre el descubrimiento de Tsunami para Mac OS puede visitar el Blog de Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2011/10/26/linux-tsunami-para-mac-os-x/ [...]
28-10-2011 a las 11:19 am
[...] Para más información sobre el descubrimiento de Tsunami para Mac OS puede visitar el Blog de Laboratorio de ESET Latinoamérica. [...]
28-10-2011 a las 8:51 am
[...] Para más información sobre el descubrimiento de Tsunami para Mac OS puede visitar el Blog de Laboratorio de ESET Latinoamérica. [...]
27-10-2011 a las 8:21 pm
[...] Para más información sobre el descubrimiento de Tsunami para Mac OS puede visitar el Blog de Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2011/10/26/linux-tsunami-para-mac-os-x/ [...]
27-10-2011 a las 7:26 pm
[...] Además, el troyano abre una puerta trasera en el equipo que puede ser utilizada para la descarga de nuevo malware, la actualización del código de Tsunami o, incluso, el control completo del equipo infectado por parte del ciberatacante. Para más información sobre el descubrimiento de Tsunami para Mac OS puede visitar el Blog de Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2011/10/26/linux-tsunami-para-mac-os-x/ [...]
27-10-2011 a las 6:52 pm
[...] Para más información sobre el descubrimiento de Tsunami para Mac OS puede visitar el Blog de Laboratorio de Eset Latinoamérica. [...]
27-10-2011 a las 6:45 pm
[...] Para más información sobre el descubrimiento de Tsunami para Mac OS puede visitar el Blog de Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2011/10/26/linux-tsunami-para-mac-os-x/ [...]
27-10-2011 a las 11:08 am
Saludos, en este momento encuentro infectado mi ordenador linux con este virus… que me recomiendan tomar en cuenta para su eliminacion?