Linux.Phalax un virus para GNU/Linux
By: Date: agosto 8, 2008 Categories: Personal

De nuevo el tema de los Virus en Linux, leyendo de cofradía confirme que Symantec dice haber descubierto un virus que afecta a GNU/Linux.

Es penoso que una compañía seria como Symantec termine publicando semejantes cosas, los virus en Linux simplemente no aplican como tal por la estructura del sistema operativo.

Lo mas penoso en si ya no es publicar que se encontró un código malicioso en Linux, que citando a heatseeker en su comentario en cofradía

se ve tan peligroso como una salchicha armada con un una bazooka lanza chicharos

lo peor es el gran desconocimiento de Symantec en cuanto al sistema operativo, sus consejos para evitar las infecciones caen de lo absurdo a lo gracioso.

Recommendations
Symantec Security Response encourages all users and administrators to adhere to the following basic security “best practices”:
• Turn off and remove unneeded services. By default, many operating systems install auxiliary services that are not critical, such as an FTP server, telnet, and a Web server. These services are avenues of attack. If they are removed, blended threats have less avenues of attack and you have fewer services to maintain through patch updates.
• If a blended threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
• Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services (for example, all Windows-based computers should have the current Service Pack installed.). Additionally, please apply any security updates that are mentioned in this writeup, in trusted Security Bulletins, or on vendor Web sites.
• Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
• Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files.
• Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media.
• Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
Writeup By: Alfredo Pesoli

Alfredo Presoli, en la viñeta que indica esto

• Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files

.

Tu consejo es excelente, para un usuario Windows, pero GNU/Linux no ejecuta programas ni scripts de visual basic, batch tampoco, por que no se hereda nada del msdos, tampoco accesos directos pif de Windows y mucho menos protectores de pantalla de Windows que como sabemos son EXE renombrados a SCR, pero de nueva cuenta, Linux no ejecuta programas de Windows, incluso si de alguna forma extraña lograda colarse una de estas cosas por medio del WINE, este quedaría encerrado en el entorno WINE.

Es por notificaciones como la que da Symantec, que existe la falsa idea de que existen Virus como tal en GNU/Linux, Tal cosa no existe.

17 thoughts on “Linux.Phalax un virus para GNU/Linux

  1. Mozilla Firefox 3.0.1 Windows XP

    Jajajaja me parto de la risa XDD evitar mostrar un .exe en linux para no ser infectado jajaja.

    Esto no es mas que publicidad varata para vender su producto afirmandose en un sistema que algunos desconocen.

    Curiosamente los que conocen del kernel Linux no usan norton… porqué será???

  2. Internet Explorer 7.0 Windows Vista

    No estoy de acuerdo con el comentario de que los virus no aplican en Linux. Un virus es un programa que se reproduce o más bien dicho propagarse.

    Yo hice uno como prueba de concepto hace mas de 10 años en Lisp (para windows) y se reproduce sin problemas en Linux. Tambien si corres un emulador como dosemu o wine me consta que se reproducen y el sistema operativo no hace nada por evitarlo. Aunque no lo he hecho por que es un trabajo ocioso, se puede hacer un virus en ensamblador que ponga al principio su código para despues ejecutar el codigo real con tan solo modificar los encabezados.

    Por supuesto que el virus estará limitado a los permisos que tenga y un sistema se limpiará (si tienes bien tus permisos) con solo borrar la cuenta afectada… a menos que el virus explote una vulnerabilidad en el sistema operativo. Esto ya ha pasado antes en Linux con varios worms que al final de cuentas son también virus. ¿No se acuerdan los worms que atacaban máquinas Linux con vulnerabilidades del OpenSSL?

    De aqui en adelante caemos a en la interminable discusión que cuando un virus o worm ataca tu sistema operativo es seguramente porque no lo actualizaste o no tomaste medidas de seguridad (algunas no tan básicas como checar los checksums de tus programas para notar cambios inadvertidos) y que a un administrador es muy dificil que caiga en la trampa y que en realidad son de poco riesgo. Pero de que se puede, se puede.

    Saludos

  3. Mozilla Firefox 3.0.1 Linux

    Jorge

    Virus como tal, es practicamente inaplicable para Linux

    si recuerdo aquellos gusanos, pero tambien recuerdo la diferencia fundamental entre

    Gusano, bomba logica, Troyano, etc, etc,etc y Virus

    AX

    Necesitas mantener el contexto de lo que estas leyendo.

    pero GNU/Linux no ejecuta programas ni scripts de visual basic

    Linux no ejecuta programas de Windows

    Pero ya que comentaste como una pregunta, tendre que responderte

    Linux ejecuta programa de…. ELF

    y por si te queda la duda Windows ejecuta programas de … PE

  4. Internet Explorer 7.0 Windows Vista

    Ax

    Efectivamente, aveces cuando redacto me interrumpen en la oficina y al continuar escribiendo pierdo la hilaridad de lo redactaba.

    si le hice unos arreglos a este articulo y si es asi, entonces te ofresco una disculpa por la confusion, confusion que espero ya se haya dicipado

  5. Internet Explorer 7.0 Windows Vista

    Es cuestión de semántica, para mi un Virus es un programa que se reproduce por si sólo y eso puede ocurrir en Linux (por lo que no esta fuera de contexto que haya un virus en linux). Tu no definiste al inicio que era un Virus; a mi en la Universidad me enseñaron a definir primero antes de empezar a redactar un post para evitar confusiones. Si te fijas en mi comentario fue lo primero que hice y no me llevo mas que unas 8 palabras. Veo que en varios de tus posts anteriores varios visitantes te alegan cosas similares y creo que es justamente por eso, te hace falta ser más claro en tus posts.

    Por ejemplo, otro error que veo en tu redacción que puede confundir a tus lectores es que no pones para nada una liga del texto que estas criticando; sólo que lo leíste en Cofradía. Viendo en portada ahorita encuentro esta liga:

    http://www.cofradia.com/modules.php?name=News&file=article&sid=21282

    Pero sólo hablan de un virus que si vas a simantec en realidad no es un virus es un troyano de los rootkit. Ya desde cofradia sacan de contexto las cosas. Aquí si un troyano no es necesariamente un virus… entonces hasta la discución del post no tiene sentido. Y la única recomendación que ponen es borrarlo.

    De nuevo, pon referencias para que tus lectores no se salgan de contexto y sea más fácil que te den la razón… De hecho, te conviene, te vas ahorrar mucho tiempo en publicar respuestas y tu post va estar actualizado porque sitios como cofradia suelen publicar posts diarios y la noticia que tu dices se vuelve díficil de encontrar y ningún lector posterior se va a tomar la molestia de buscarla.

  6. Mozilla Firefox 3.0.1 Linux

    Jorge,
    “Y la única recomendación que ponen es borrarlo.”
    No es así ya que en el sitio de simantec recomiendan reinstalar el Sistema Operativo por completo y eso es una brutalidad ya que ni yo cuando me llegan computadores con Windows muy desastrados los formateo, si alguien va a dar alguna recomendación en esa clase de sitios debería haber sido algo un poco mas profesional no crees?:
    “we recommend completely reinstalling the operating system.”

    De todas formas parece que simantec ha redescubierto la rueda ya que rootkits para linux deben haber mas que para windows ya que nadie se desgasta en hacer algo bueno para un sistema que vale shit como por ejemplo el team de godfellas.

    Nota: para que funcione un rootkit primeramente deves ejecutarlo como root y como supongo que ya sabes uno nunca entra en una pc como root por asuntos de seguridad asi que si se ejecuta y te infectas será porque así lo has pedido.

    “para mi un Virus es un programa que se reproduce por si sólo”
    También estás muy equibocado, mejor aprende que es un virus ya que un troyano, rootkit, malware, se pueden reproducir de forma automatica sin la necesidad de representar un mal en el servidor, por ejemplo puede ser solo para notificaciones no deseadas (malware) sin la necesidad de ser virus.

    “pon referencias para que tus lectores no se salgan de contexto y sea más fácil que te den la razón”
    La referencia estaba en el segundo post casi inmediatamente después de haber posteado el primero, solo era cosa de leer.

    “y ningún lector posterior se va a tomar la molestia de buscarla.”
    Buscarlas no pero creo que este tema era para dar a entender a la gente el punto de vista técnico sobre la noticia erronea sin la intensión de crear un punto de discución oficial del tema sino mas bién informar únicamente a los visitantes de este sitio para poder elevar un poco el conocimiento.

    Hay muchas cosas que podría decir sobre este sitio pero no creo que alcanze a ponerlo acá o llenaría mucho pero creo que tienes una visión equibocada de este blog.

    De todas maneras no estoy diciendo que LastDragon no se haya equibocado ya que realmente no era un virus sino un rootkit.

    Suponiendo que tu critica era constructiva espero que hayas tomado la mia de igual forma 🙂

  7. Internet Explorer 7.0 Windows Vista

    Ya lo dije; es cuestion de semántica… para muchos autores un virus es un programa que se reproduce. Entonces un worm que se reproduce es una sublase de un virus (Para algunas personas). Pongo esta nota por ejemplo:

    http://www.webopedia.com/DidYouKnow/Internet/2004/virus.asp

    Donde dice: “A worm is similar to a virus by its design, and is considered to be a sub-class of a virus”

    Cada autor puede definir sus términos si no le gusta la definición de otro autor. No existe una verdad absoluta y en el caso de los virus como puedes ver no es la excepción. Por eso destaco la importancia de definir las cosas primero.

    ¿Quieres otra definición? Te pongo una extrema:

    http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=virus

    2. m. Inform. Programa introducido subrepticiamente en la memoria de un ordenador que, al activarse, destruye total o parcialmente la información almacenada.

    Según las maximas autoridades del lenguage, un virus ni siquiera se tiene que reproducir. Por eso, recomiendo definir primero.

  8. Mozilla Firefox 3.0.1 Windows XP

    ¿Porqué en Linux no hay virus?
    « Anterior | Inicio | Siguiente »
    Los virus son la pesadilla de los administradores, cada mes aparecen mas de 30 mil y es un hecho que las actualizaciones mensuales de los antivirus no los incluyen a todos. Para los usuarios no expertos también son una molestia, los antivirus pueden hacer que una computadora pierda hasta el 30% de su veocidad. Cada año cientos de millones de dólares se pierden en horas/hombre (y horas/mujer 😉 ) por los virus en todo el mundo.

    Para que un programa sea considerado como un virus debe cumplir dos requisitos:

    1) Que se copie a sí mismo
    2) Que se propague de manera “natural” entre los sistemas

    Los gusanos son programas que aprovechan un exploit (error en el código de un programa) para infiltrarse en un sistema. Los troyanos son gusanos que abren un puerto trasero para permitir que una persona ajena entre al sistema. La diferencia principal entre los virus y los gusanos radica en que los virus se propagan sólos por la red, mientras que alguien (un hacker) debe realizar acciones especificas para implantar un gusano. Por cada máquina atacada por un gusano existen miles (quizás millones) de equipos infectados por virus. En GNU/Linux hay gusanos y troyanos, pero no virus.

    Con frecuencia he escuchado la opinion de “expertos” que argumentan que en Linux no hay virus porque hay pocos equipos con este sistema operativo, pero que en cuanto se vuelva más popular los virus aparecerán. Obviando el hecho de que Unix/Linux poseen el 40% del mercado de servidores, esta opinión revela las pobres expectativas que Microsoft le ha impuesto al usuario común, pues según éste, es normal que todos los sistemas operativos sean afectados por los virus. Pero en realidad, solo Windows padece de los virus. No todo es culpa de Microsoft, no ha sido fácil llevar a un sistema operativo tan deficiente como Windows95 al exigente mundo de los servidores: en busca de un buen desempeño, se ha debido de pagar un precio en la seguridad de Windows XP y Windows 2003, quizás un precio demasiado alto.

    El hecho, sin embargo, es que en Linux no hay ni habrá virus, (la verdad es que en ningún sistema operativo deberían de existir los virus), la razón radica en la gestión de memoria y la asignacion de permisos por omisión, los cuales hacen imposible que un programa no autorizado se ejecute y propague. Varias consultoras reportan que los servidores mas atacados en Internet son los basados en Linux, y la gran mayoria sale victorioso de la prueba. Sin embargo, esto no significa que este sistema operativo sea invulnerable: los programas y el mismo kernel poseen fallas que al ser explotadas permiten que, en casos extremos, un extraño tome control del equipo. La mejor manera de prepararse para un ataque es siendo uno mismo un hacker, escaneando los puerto de nuestro server, inyectando SQL en nuestras paginas web y tratando de ejecutar codigo malicioso. Lo más importante es frecuentar sitios que informen sobre fallos de seguridad, como linuxtoday.com∞ y buscar actualizaciones para nuestro sistema cada siete dias. Existen muchas soluciones que automatizan este proceso.

  9. Opera 9.63 Windows XP

    Bueno troyanos en linux/unix siempre ha habido y siempre habrá, desde luego dudo mucho que sea el “primero” en descubrirse, como muchos dicen orgullosos. ¿Cómo se puede instalar? Pues usando algún truco de ingeniería social que haga que el usuario lo instale, o dejando tu ordenador en manos de alguien malicioso, que pueda acceder a root y lo instale…imposible no es ni muchísimo menos, de hecho los servidores linux se asaltan a miles todos los días.

    Lo que si veo más difícil es la expansión de virus, pero si windows fuera por defecto como linux seguro que tampoco habría virus.

  10. Safari 525.20.1 Mac OS X 10.5.6

    Pirri

    Lo que describes no es un troyano, es una intrusion y son cosas totalmente diferentes.

    Por ultimo que empresa seria deja sus servidores en manos de un malicioso sin un contrato de responsabilidad donde el “maliososo” terminaria en la carcel

    Los servidores que asaltan, no son en si problemas de linux son mala programacion mayormente de php, ni siquiera son vilnerabilidades adjudicables a linux

  11. Mozilla Firefox 3.0.11 Windows XP

    jajajaja mas kisiera windows ,xD
    lo mejor es instalar linux ,y dentro de ella una
    makina virtual ,eso si es vida >P

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Comment spam protected by SpamBam