Skip to content

Un protector de pantalla malicioso

11/diciembre/2009

Gnome-Look.org es un popular sitio comunitario donde todos puede subir y compartir fondos de escritorio, protectores de pantalla, iconos, temas para diversas aplicaciones, cursores, etc. para el entorno de escritorio Gnome.

Pues resulta que alguien subió un protector de pantalla con “sorpresa”, ya que al instalar el protector de pantalla “waterfall” (cascada) un usuario noto algo extraño: además de que el protector de pantalla no estaba en la lista de aprobados de GNOME, también contenía una secuencia de comandos que realizaba algunas sustituciones muy particulares: tomaba un archivo llamado auto.bash del servidor y lo instalaba en /user/bin/, y realizaba lo mismo con el archivo gnome.sh que colocaba en el directorio /etc/profile.d/. El script entonces, realizaba un ping solicitando enviar paquetes muy grandes a un servidor determinado. El script probablemente sirvió para realizar una denegación de servicio (DoS) contra otros servidores que proporcionan enormes brechas de seguridad de juegos multijugador, además de bajar actualizaciones de él mismo.

Afortunadamente la comunidad actuó rápidamente. Los usuarios publicaron su descubrimiento en los foros y el protector de pantalla fue eliminado del sitio Gnome-Look. Las conjeturas sobre lo que el guión hizo exactamente y cómo eliminarlo fue debatido en el foro. El paquete se instaló bajo el nombre de app5552. Se determinó que la eliminación del malware junto con el script malicioso se puede realizar con los siguientes comandos:

Para eliminar los archivos dañinos:

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh /usr/bin/index.php /usr/bin/run.bash

Y para desinstalar el paquete malicioso:

sudo dpkg -r app5552

La lección que debemos aprender es que si quieres un sistema seguro, no descargues ningún software fuera de las fuentes de paquetes oficiales, y si eres un usuario avanzado, al menos mirar el código fuente antes de instalar. También, no ingresar la contraseña de root en cualquier cuadro de dialogo que lo solicite.

Fuente:  Malicious Screensaver: Malware on Gnome-Look.org (LinuxMagazine)

Anuncios

Los comentarios están cerrados.

A %d blogueros les gusta esto: