Troyano en "libpcap" y "tcpdump"


Libpcap y Tcpdump son respectivamente, una librería y una herramienta muy utilizadas en ambientes Linux, que proporcionan facilidades de monitoreo de paquetes a programas como Snort (Libpcap), o directamente monitorean el intercambio de paquetes en los protocolos TCP/IP (Tcpdump).





Según el descubrimiento de un grupo de usuarios de Linux (The
Houston Linux Users Group), los códigos fuentes más recientes
de Libpcap y de Tcpdump, disponibles para descarga del sitio
tcpdump.org, están contaminados con el código de un troyano.

La advertencia fue inmediatamente reportada a los
responsables de tcpdump.org, quienes deshabilitaron las
descargas de dichos códigos hasta no se corrija la falla.

El código del troyano permite la descarga de un script de
comandos que puede crear un archivo en C y luego compilarlo.

El código compilado se conecta a través del puerto 1963, a
una dirección IP determinada (212.146.0.34) y examina el
estado de tres bytes de control para realizar diferentes
acciones:

A - Finaliza el programa

D - Crea un shell de comandos y lo redirecciona a la
conexión IP mencionada

M - Cierra la conexión, se pone a dormir por 3,600
segundos, y luego se vuelve a conectar.

Es importante hacer notar que el troyano utiliza siempre la
misma conexión para el shell (entradas y salidas), de modo
que puede saltearse a cualquier cortafuego que solo filtre
las conexiones de entrada.

El script "Gencode.c", es modificado para forzar a que
Libpcap ignore paquetes desde y hacia el propio troyano,
escondiendo de este modo su propio tráfico.

Esta acción es similar a la causada hace unos meses por el
troyano del OpenSSH (ver: "Versión troyanizada de OpenSSH",
http://www.vsantivirus.com/02-08-02.htm).

Las versiones afectadas en este caso, son las más recientes.
Pero solo pueden estar infectadas las que hayan sido
compiladas a partir del código fuente modificado.

Para comprobar cuáles son los códigos fuentes correctos, y
cuáles los troyanizados, puede utilizarse una herramienta
MD5.

MD5 es un algoritmo que realiza la comprobación de la
integridad de archivos binarios, mediante la generación de
códigos de control llamados "hashes".

De acuerdo a esto, los códigos fuentes limpios, poseen los
siguientes hashes MD5:

MD5 Sum 0597c23e3496a5c108097b2a0f1bd0c7 libpcap-0.7.1.tar.gz
MD5 Sum 6bc8da35f9eed4e675bfdf04ce312248 tcpdump-3.6.2.tar.gz
MD5 Sum 03e5eac68c65b7e6ce8da03b0b0b225e tcpdump-3.7.1.tar.gz

Las fuentes troyanizadas en cambio, dan como resultado los
siguientes hashes:

MD5 Sum 73ba7af963aff7c9e23fa1308a793dca libpcap-0.7.1.tar.gz
MD5 Sum 3a1c2dd3471486f9c7df87029bf2f1e9 tcpdump-3.6.2.tar.gz
MD5 Sum 3c410d8434e63fb3931fe77328e4dd88 tcpdump-3.7.1.tar.gz

La solución pasa por volver a compilar ambas utilidades, pero
asegurándose que se está haciendo desde un código limpio.

Es importante tener en cuenta que aunque las versiones malas
han sido retiradas del sitio original, pueden existir muchos
sitios espejos que aún las tengan.


* Más información:

HLUG - Latest libpcap & tcpdump sources from tcpdump.org
contain a trojan.
http://hlug.fscker.com


Fuente:VSAntivirus

Otras noticias de interés:

Próximo curso PHP (Valencia - Carabobo) 30/01/2010
Esta pautado a realizarse un nuevo curso básico de PHP, en la ciudad de Valencia, Carabobo los días el día 30/01/10 y 31/01/10. El curso está estructurado para llevarlo a modo intensivo, y poder realizarlo en todo un fin de semana, de 8 am - 12 p...
Expertos toman medidas para prevenir ataques a Internet
La compañía norteamericana Verisign Inc., que opera dos de los 13 servidores raíz que manejan el tráfico global de Internet, realizó esta semana cambios estratégicos en la ubicación de una de estas máquinas....
IBM ofrece nuevo software e iniciativas Websphere para simplificar el desarroll
La combinación de servicios web y el software de infraestructura abierta de IBM ayudan a empresas y asociados a adoptar e-business on demand IBM anunció un nuevo software e iniciativas WebSphere* que reforzarán la cap...
La PC BIOS se verá reemplazada por UEFI para 2011
La secuencia de arranque que se ha estado utilizando en todos los ordenadores vendidos desde 1979, BIOS, cambiará el próximo año por UEFI....
Actualización de Opera por vulnerabilidad
Se ha publicado una actualización del navegador Opera para evitar una vulnerabilidad recientemente descubierta y que puede ser empleada por atacantes para evitar restricciones de seguridad....
Damn Small Linux 4.3 lanzada
DSL, una de las distribuciones GNU/Linux más pequeñas, está ya en su versión final 4.3. Esta versión tiene un peso de sólo 49,6 MB. Las características de DSL 4.3 son las siguientes:...
Actualización de las 20 vulnerabilidades más críticas
SANS Institute acaba de publicar al versión 6.0 de su guía sobre las 20 vulnerabilidades de seguridad más críticas. Hace ahora cuatro años, SANS Institute conjuntamente con el FBI publicó un documento donde se describían las diez vulnerabili...
El virus Stuxnet podría formar parte del problema nuclear iraní
El virus informático Stuxnet podría ser uno de los factores por los que Irán ha estado sufriendo durante años problemas con los equipos utilizados en sus labores de enriquecimiento de uranio, dijo un ex integrante de la agencia de supervisión nu...
VTA - LINUX! necesita colaboradores
Buenos Días: Mi nombre es Mercedes, formo parte del proyecto VTA - Linux! , un conjunto de distros basadas en Slack, y obviamente GNU....
Microsoft finalizará el soporte para XP SP2 y Windows 2000 en julio
Según ha anunciado Microsoft, será el próximo 13 de julio de 2010 cuando finalizará oficialmente el soporte que la firma presta para los sistemas operativos Windows XP SP2 y Windows 2000. Con ello, la compañía confía en que los usuarios se act...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libpcap
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tcpdump
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra