Troyano en "libpcap" y "tcpdump"


Libpcap y Tcpdump son respectivamente, una librería y una herramienta muy utilizadas en ambientes Linux, que proporcionan facilidades de monitoreo de paquetes a programas como Snort (Libpcap), o directamente monitorean el intercambio de paquetes en los protocolos TCP/IP (Tcpdump).





Según el descubrimiento de un grupo de usuarios de Linux (The
Houston Linux Users Group), los códigos fuentes más recientes
de Libpcap y de Tcpdump, disponibles para descarga del sitio
tcpdump.org, están contaminados con el código de un troyano.

La advertencia fue inmediatamente reportada a los
responsables de tcpdump.org, quienes deshabilitaron las
descargas de dichos códigos hasta no se corrija la falla.

El código del troyano permite la descarga de un script de
comandos que puede crear un archivo en C y luego compilarlo.

El código compilado se conecta a través del puerto 1963, a
una dirección IP determinada (212.146.0.34) y examina el
estado de tres bytes de control para realizar diferentes
acciones:

A - Finaliza el programa

D - Crea un shell de comandos y lo redirecciona a la
conexión IP mencionada

M - Cierra la conexión, se pone a dormir por 3,600
segundos, y luego se vuelve a conectar.

Es importante hacer notar que el troyano utiliza siempre la
misma conexión para el shell (entradas y salidas), de modo
que puede saltearse a cualquier cortafuego que solo filtre
las conexiones de entrada.

El script "Gencode.c", es modificado para forzar a que
Libpcap ignore paquetes desde y hacia el propio troyano,
escondiendo de este modo su propio tráfico.

Esta acción es similar a la causada hace unos meses por el
troyano del OpenSSH (ver: "Versión troyanizada de OpenSSH",
http://www.vsantivirus.com/02-08-02.htm).

Las versiones afectadas en este caso, son las más recientes.
Pero solo pueden estar infectadas las que hayan sido
compiladas a partir del código fuente modificado.

Para comprobar cuáles son los códigos fuentes correctos, y
cuáles los troyanizados, puede utilizarse una herramienta
MD5.

MD5 es un algoritmo que realiza la comprobación de la
integridad de archivos binarios, mediante la generación de
códigos de control llamados "hashes".

De acuerdo a esto, los códigos fuentes limpios, poseen los
siguientes hashes MD5:

MD5 Sum 0597c23e3496a5c108097b2a0f1bd0c7 libpcap-0.7.1.tar.gz
MD5 Sum 6bc8da35f9eed4e675bfdf04ce312248 tcpdump-3.6.2.tar.gz
MD5 Sum 03e5eac68c65b7e6ce8da03b0b0b225e tcpdump-3.7.1.tar.gz

Las fuentes troyanizadas en cambio, dan como resultado los
siguientes hashes:

MD5 Sum 73ba7af963aff7c9e23fa1308a793dca libpcap-0.7.1.tar.gz
MD5 Sum 3a1c2dd3471486f9c7df87029bf2f1e9 tcpdump-3.6.2.tar.gz
MD5 Sum 3c410d8434e63fb3931fe77328e4dd88 tcpdump-3.7.1.tar.gz

La solución pasa por volver a compilar ambas utilidades, pero
asegurándose que se está haciendo desde un código limpio.

Es importante tener en cuenta que aunque las versiones malas
han sido retiradas del sitio original, pueden existir muchos
sitios espejos que aún las tengan.


* Más información:

HLUG - Latest libpcap & tcpdump sources from tcpdump.org
contain a trojan.
http://hlug.fscker.com


Fuente:VSAntivirus

Otras noticias de interés:

Disponible eZine Cotejo N° 03 Abril 2011
Esta disponible para su lectura/descarga el número 3 de la eZine Cotejo de Vaslibre, la revista digital referente al Software Libre. Revista digital bimensual. Disfrutenla!...
GameCube hackeada
Están circulando rumores por Internet, basados en algunos videos, que sostienen que el sistema de protección de GameCube tambien ha sido derrotado. ...
EEUU quiere aumentar sus #ciberdefensas
El Pentagono considera necesario aumentar las ciberdefensas de Estados Unidos para que el país esté preparado para “la guerra moderna”. El objetivo sería mejorar la seguridad de los sistemas y contar con herramientas cibernéticas para atacar ...
Nueva versión de OpenSSL
Se ha publicado una nueva versión de OpenSSL, la 0.9.6g, que soluciona numerosos problemas, muchos de ellos de seguridad. La librería OpenSSL es un desarrollo Open Source que implementa los protocolos SSL y TLS, y que es utilizada ...
Ubuntu 8.04, Release Candidate disponible
Lista para descarga la RC de Hardy Heron, el nuevo desarrollo de la distribución GNU/Linux de Canonical, cuya versión final está programada para el 24 de abril. ...
Variante de Koobface infectando Ubuntu
El gusano Koobface con una variante utiliza una aplicación Java maliciosa que actúa como un troyano para infectar el equipo....
09-f9-11-02-9d-74-e3-5b-d8-41-56-c5-63 El número mágico
Como ya han informado diversos medios, Digg eliminó el 1ero de mayo -a pesar de su extraordinaria acogida por parte de la comunidad- la nota de un usuario donde figuraba el nuevo número de la Bestia, es decir, el número maldito e impronunciable ...
¿Cuántas aplicaciones instaladas en tu smarphones usas realmente?
Para muchos la principal razón para utilizar un smartphone son las aplicaciones, pero realmente, ¿cuántas de las aplicaciones instaladas en los smartphones utilizamos realmente? Si hago una revisión de todo lo que tengo dentro del teléfono y lue...
Firefox, contra los ataques XSS
La Fundación Mozilla está preparándose para adoptar un nuevo estándar que ayudará a evitar ataques Cross Site Scripting (XSS) en su sitio web. El estándar, denominado Content Security Policy, podría ser la solución a estos ataques, y permite ...
Investigador ruso dice que el Mydoom sería más peligroso
El investigador independiente Juari Bosnikovich, publicó en una lista de seguridad, nuevos detalles de la acción destructiva del gusano Mydoom, desconocidos hasta ahora. Según Bosnikovich, las compañías antivirus podrían haber ocultad...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libpcap
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tcpdump
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra