-- Descargar Troyano en Linux: Rekoobe como PDF --

NUEVO TROYANO EN LINUX

Días atrás, La firma Anti-Virus Dr. Web publicaba en su blog el  descubrimiento de este troyano que afectaría a sistemas Linux.

El mismo fue originariamente enfocado en la arquitectura SPARC sin embargo, ya existe una nueva versión que apunta a equipos corriendo sobre procesadores Intel, tanto de 32 como de 64 bits.

Dr. Web afirma que el troyano es bastante simple, pero a la vez difícil de detectar, ya que encripta su archivo de configuración propio y es capaz de conectarse a un servidor remoto para recibir comandos y luego proceder a controlar el equipo. Además, toda la información intercambiada con el servidor de control remoto es dividida y encriptada también.

ALGUNOS DETALLES SOBRE EL FUNCIONAMIENTO DE REKOOBE

La compañía de seguridad incluye información adicional, como por ejemplo las firmas SHA-1 que usa el troyano para encriptar su comunicación al servidor remoto:

• a11bda0acdb98972b3dec706d35f7fba59587f99 (SPARC)
• 04f691e12af2818015a8ef68c6e80472ae404fec (SPARC)
• 466d045c3db7c48b78c6bb95873b817161a96370 (SPARC)
• cd274e6b73042856e9eec98d258a96cfbe637f6f (Intel x86)
• 8e93cfbaaf7538f8965080d192df712988ccfc54 (Intel x86-64)

UBICACIONES DEL ARCHIVO DE CONFIGURACIÓN

• /usr/lib/liboop-trl.so.0.0.0

• /usr/lib/libhistory.so.5.7

• /usr/lib/libsagented.so.1

• /usr/lib/libXcurl

• /usr/lib/llib-llgrpc

ESQUEMA DE LA CONFIGURACIÓN DE REKOOBE

Endpoint es el servidor remoto con el cuál se comunicará para recibir comandos y enviar información:

SECRET value
MAGIC value
PROXYHOST value
PROXYPORT value
USERNAME value
PASSWORD value
ENDPOINT value
SERVER_PORT value
CONNECT_BACK_DELAY value

Dr. Web no ha publicado detalles sobre cómo eliminar el troyano, aunque probablemente alcance con eliminar su archivo de configuración.

Fuente:

Noticia en el sitio de Dr. Web(en inglés)