La empresa de seguridad Dr. Web ha analizado un nuevo malware para Linux que está infectando un considerable número de equipos. Aunque aparentemente el troyano es muy similar a cualquier otra pieza maliciosa un análisis en profundidad ha demostrado que en realidad debido a una mala programación del mismo la herramienta carece de un gran número de funciones lo que hace que la herramienta sea casi inofensiva.
Este
troyano, que ha sido denominado como Linux.BackDoor.Dklkt.1, simplemente
habilita una puerta trasera en los sistemas que infecta. Este troyano,
probablemente de origen chino, habilita la posibilidad de crear un proxy para
establecer conexiones seguras y permite al pirata informático trabajar con
nuestro sistema de archivos. También habilita una línea de comandos remota para
poder controlar el sistema desde un TTY.
Una característica poco común de este malware es la capacidad de compilarse automáticamente en el sistema de su víctima para, por ejemplo, generar un binario para Windows y atacar dentro de la propia red local otro equipo diferente con un sistema operativo diferente. Por ello se puede afirmar que este troyano es multiplataforma, aunque siempre necesitará de un sistema previamente infectado para recompilarse.
Este
troyano también ha sido diseñado para realizar ataques DDoS tal como se puede
ver en las funciones:
- Flood SYN
- Flood HTTP (GET y POST)
- Flood ICMP
- Flood TCP
- Flood UDP
Aunque
parece un troyano bastante complejo en realidad su diseño es pésimo y eso hace
que en muchos aspectos el troyano sea totalmente inútil. Al analizar el malware
se pudo ver cómo carece de ciertas funciones como un sistema de actualizaciones
automáticas, transferencia de datos del usuario al servidor del pirata
informático y la eliminación de sí mismo una vez finaliza el ataque.
