Los sistemas Linux pueden estar infectados por gusanos que explotan los puntos débiles del código de la red para apropiarse del derecho de acceder a otras máquinas que están en el entorno de Linux e infectarlas.

La señal de aparición de estos gusanos es un aumento anormal del tráfico en la red. Pueden propagarse rápidamente en ordenadores conectados permanentemente a internet porque no requieren de la intervención de un usuario para activarse, informa Sophos Web.

Además la utilización cada vez más frecuente de servidores de linux con Samba, NFS o AppleShare, como servidores de ficheros para estaciones de trabajo Windows, hace que los servidores Linux puedan ser « portadores sanos » de virus Windows o MacOS.

La utilización de un software antivirus está particularmente aconsejada para examinar los e-mails sobre los servidores de Linux utilizados , como pasarelas SMTP o servidores de mensajería.

Algunos virus de Linux, según los describe Sophos Web.

Linux/Ramen (enero 2001):
Este gusano de Linux explota los fallos de ciertas distribuciones de Linux (Red Hat 6.2 y 7.0). La utilización de un antivirus y los parches de seguridad permiten eliminar esos errores.

Para propagarse el gusano elige una red Intenet de clase B al azar y explora todas las direcciones de la gama para buscar máquinas que infectar.

Una vez implantado, el gusano reemplaza todos los ficheros index.html del ordenador por un fichero HTML que contiene el texto « Hackers loooooooooove noodles ».

W32/Linux.Winux, o W32/Lindose (marzo de 2001)
W32/Lindose es el primer virus multi plataforma que infecta a la vez los ejecutables de Windows y Linux. Cuando el virus se pone en marcha busca los ejecutables Windows y Linux en el propio repertorio y el de sus parientes. Cuando encuentra un ejecutable en el que la sección .reloc es bastante grande, remplaza esta sección por el código del virus.

El cuerpo del virus contiene el texto siguiente : « [Win32/Linux.Winux] multi-platform virus by Benny/29A » y “This GNU program is covered by GPL » que anuncia que el programa está cubierto por una licencia pública GNU.

Linux/Lion (marzo 2001)
Este gusano de Linux se propaga por el entero conjunto IP de classe B, para encontrar una máquina vulnerable que utiliza el demonio Bind. Cuando encuentra un candidato a la infección ataca la máquina distante y ha acertado el ataque, recarga un paquete desde coollion.51.net.

Este conjunto de softwares contiene una copia del gusano y también el t0rn rootkit. Este rootkit está concebido para esconder la presencia del gusano remplazando numerosos ficheros sistemas por su versión « parcheada »y limpia los ficheros de log.

El gusano abre una puerta robada con el derecho de ecceso root y envía por e-mail el contenido de ficheros de la password (/etc/passwd, y /etc/shadow) así como informaciones sobre la configuración de la máquina (que sale del comando ifconfig –a) a una dirección en China.

Linux/Rst-A (marzo 2002)
Este virus de ejecutable intenta infectar todos los ficheros ejecutables de repertorio correspondiente y del repertorio /bin.

Crea una puerta falsa, abre una puerta UDP y se que da a la espera de un paquete que cuando se recibe abre un conexión TCP con ese atacante y lanza un shell para permitir el acceso a distancia.

Linux/Slapper-A (septiembre 2002)
Este virus es el primero en atacar los servidores Web Apache sobre Linux. Explota un fallo del módulo OpenSSL de ciertas versiones de Apache. A pesar del hecho de que ese fallo ha sido anunciado y corregido en un boletín de seguridad de OpenSSL el 30 de julio del 2002, numerosos servidores han sido infectados, lo que subraya la necesidad de instalar las corecciones de seguridad desde su publicación.

Si el gusano es capaz de entrar en el sitema de su víctima, inyecta un script en el shell distante que ha ejecutado. Ese sript shell crea un fichero fuente y utiliza el compilador GCC (GNU Compiler ) para crear un ejecutable. Una vez activado el programa abre una puerta acceso que puede ser contactada a través de la puerta UDP 2002, con el fin de permitir la inicialización de una serie de ataques a partir de ordenadores infectados: ejecutar los comandos arbitrarios, crear inundaciones de TCP ou DNS (« TCP / DNS floods » ), o buscar direcciones de e-mail sobre el disco.

Como medida de seguridad contra este tipo de ataques, Sophos recomienda suprimir o limitar el acceso al compilador sobre los servidores del Web.

Linux/Devnull-A y Troj/Kaiten-E (octubre 2002)
El virus Linux/Devnull-A se propaga explotando la misma vulnerabilidad que Linux/Slapper-A. Este deposita el caballo de Troya Troj/Kaiten-E, que abre una puerta de acceso conectándose a un servidor IRC en tanto que cliente IRC y espera instrucciones que provienen de un eventual pirata. Este virus puede también ser utilizado por ataques del tipo DoS (negación de servicio).

Enlaces de interés:
www.sophos.fr