A principios de diciembre te hablamos de Rekoobe, un troyano que afectaba a los sistemas operativos basados en Linux y que, a pesar de su sencilla apariencia –gracias a la que podía evitar ser detectado por el sistema de seguridad-, resultaba tremendamente molesto y permitía a los atacantes colarse en el equipo para subir archivos locales al servidor y un largo etcétera de incomodidades a las que ya nos referimos en su día.
Menos de dos meses después y por desgracia, tenemos que informaros de la aparición de uno nuevo: Linux.BackDoor.Xunpes En esta ocasión –y como su propio nombre indica- se trata de un troyano de puerta trasera cuyo proceso de infección se divide en dos partes. La primera de ellas tiene que ver con un dropper escrito en Free Pascal, el encargado de descargar el segundo componente, el troyano propiamente dicho. Pero ¿qué puede hacer exactamente?
Linux.BackDoor.Xunpes, así es

Descubierto por los investigadores de Dr Web durante este fin de semana, parece que este malware ha sido diseñado para atacar a los cajeros automáticos Bitcoin de una startup con sede en España llamada Pay Maq. Sin embargo, ahora ha saltado a Linux, con un “éxito” tan rotundo que, una vez que el equipo está infectado, el autor del malware puede enviar más de 40 tipos de comandos a través de un servidor C&C (comand and control), que le permite permanecer en el semi-anonimato. Las acciones más significativas son:
- Descargar archivos
- Ejecutar archivos en el ordenador remoto
- Copiar archivos y eliminarlos
- Crear y eliminar carpetas
- Ejecutar comandos en la terminal
- Simular pulsaciones de teclado
- Registrar estas pulsaciones y subirlas a un servidor
- Llevar a cabo capturas de pantallas
- Echar un vistazo a los sockets abiertos
- Apagar el ordenador
- Dificultar las comunicaciones
Más malware en Linux

Al margen de lo dicho, no se trata de los únicos problemas de este tipo que ha experimentado Linux, sino que, por desgracia, la aparición de malware que afecta a sus equipos es cada vez más frecuente. Así, en noviembre del año pasado dimos a conocer la aparición de un ransomware para este sistema operativo -Linux.Encoder.1-; un malware que se infiltraba a través de las vulnerabilidades en los plugins y encriptaba los archivos pertenecientes a las carpetas home, root, Apache, git, svn, etcétera; entre otros.
Durante el verano de 2014, además, los investigadores de Kaspersky Lab descubrieron otro troyano, tan silencioso y potente que podía permanecer oculto durante meses en cualquier equipo. Destinado al espionaje gubernamental, podía de interceptar el tráfico de datos y ejecutar comandos y acciones remotamente sin necesidad de disponer de “privilegios” de administrador del sistema.
La semana pasada Dr Web reveló también la existencia de Linux.Ekoms.1, un troyano similar con capacidad de realizar capturas de pantalla. No podemos olvidarnos tampoco del malware DDos XOR, aunque su ámbito de actuación se ha centrado en Asia. Unos casos que, en definitiva, llevan a cuestionarse la seguridad en Linux pero que, por desgracia, resultan inevitables cuando un sistema operativo se vuelve más popular.
En Genbeta | ¿Qué es un troyano, cómo funciona y cómo podemos protegernos?
En Xataka Android | ¿Troyanos en tu Android? No descuides la seguridad
Ver 10 comentarios
10 comentarios
r0uzic
"Unos casos que, en definitiva, llevan a cuestionarse la seguridad en Linux"
No es por ser fan de Linux, pero que haya un ligero incremento de troyanos en este sistema no significa que haya que cuestionarse la seguridad.
En el caso del cryptolocker era necesario tener un CMS desactualizado para que fuera efectivo, y encima la solución se encontró pasadas unas horas. Creo recordar que no afectó a más de 10 servidores.
El resto de troyanos necesitan que el usuario LOS EJECUTE y esto hace difícil que su daño sea mayor.
Es evidente que mientras más popular sea Linux más malware habrá, pero será imposible que sea tan dañino como ocurre en Windows.
gilberto1904
algo que tienen muy en común estos "troyanos" y "virus" que se presentan en los sistema gnu/linux es que ante todo, primero se necesitan descargar, luego darles permiso de ejecución y por ultimo ejecutarlos, me interesaría saber el método de infección que utiliza este troyano ya que en el enlace no se menciona como infecta solo que se tiene que descargar y ejecutar al igual que los otros virus que se mencionan, y de paso noto que este articulo solo ataca a linux injustificadamen.
cristianrodriguez
He visto un aumento de este tipo de posts, se me hace extraño que no ahonden en información de como actuan estas infecciones,como se instalan, etc, lo que me lleva a pensar que posiblemente sean posts patrocinados o traten de crear algun tipo de controversia.
mrfloppy
Ningún SO está libre de malware, si bien es cierto que es más raro encontrarlo en sistemas basados en Unix. Si que me gustaría saber a qué versiones del Kernel afecta; en el enlace no viene nada.
Saludos.
atoi
Podrían haber 400 mil millones de troyanos para Linux que eso no lleva a cuestionarse la seguridad. Si son troyanos a secas, son aplicaciones legales en cualquier sistema operativo. Distintos son los gusanos que instalan troyanos, o cualquier malware que utilice un mecanismo de exploit.
Otro cantar sería si los usuarios no tuviesen forma de prevenir comportamientos no intencionados; como ser linux-capabilities, linux-namespaces, seccomp, seccomp-bpf, sandbox y SELinux/AppArmor/Smack/Tomoyo.
bauglir
El tema es sencillo: los fabricantes de antivirus saben que el 90% de los servidores del mundo (más el testimonial 1% de usuarios) utilizan GNU/Linux, y no han tenido huevos, en 20 años, de venderles un mísero antivirus. De manera que, ahora, están montando una campaña para intentar meterle miedo a la gente que usa Linux, y *nix en general, para ver si de esta manera consiguen que los sysadmins, que son gente que no tiene ni zorra idea (eso se deben de pensar los de Dr. Web) se acojonan ante la posibilidad de que, en un día de despiste, se puedan descargar un troyano, darle permisos de ejecución, sin querer, y ejecutarlo, introduciendo, accidentalmente, la contraseña de administrador (que es lo que requieren estos malwares para funcionar, hasta que las empresas que los han descubierto demuestren que son capaces de hacer una escalada de privilegios por sí solos, cosa que no ha ocurrido con ninguno de ellos).
En todo caso, que las compañías de antivirus hagan este juego tan triste, se puede entender; lo que es más difícil de entender es que publicaciones pseudoespecializadas, como esta, le den coba a sus diatribas. Recomiendo a los redactores de Genbeta que tengan más cuidado antes de hacer juicios, y se dejen de sensacionalismos, antes de que se conviertan en ADSLZone.
Un saludo.
snapux
A mí solo se me ocurre pensar que quien escribe este articulo sea un fanboy maníaco de Apple... existir malware etc en Linux básicamente han existido casi siempre pero de ahí a que se ejecuten y peor aun que sea tan fácil sin mas eso no me lo creo. Señores para este tipo de noticias si no se dan detalles técnicos al menos estar documentados porque levantáis polémica en los usuarios menos experimentados o ignorantes creándoles la duda del sistema del pingüino. Un saludo
ferpant
Buenas tardes,
me quedo perplejo con el nivel que parece tener este artículo. Soy un usuario de GNU-Linux desde hace muchos años. Estoy encantado con el control y la seguridad que me brinda este SO.
No soy un geek, y cuando leo las afirmaciones de este artículo, que me parecen sensacionalistas y no vienen acompañadas de los detalles técnicos pertinentes, hacen que pierda la confianza en su publicación. Me da la impresión que la señorita Águeda A.Llorca no está haciendo su trabajo correctamente, incluso diría más está malinformando. Para la gente que en su publicación se esfuerza por ser veraz y comprobar los datos debería ser descorazonador. Habrá que buscar alternativas a la información.