Linux/Mumblehard

Boletines

Descargar

Esta familia de malware está conformada por dos componentes: un backdoor y un daemon para el envío de spam. Ambos fueron creados en Perl y presentan el mismo empaquetador personalizado escrito en lenguaje ensamblador. El uso de lenguaje ensamblador para generar binarios ELF y ofuscar el código fuente de Perl demuestra que el nivel de sofisticación de esta amenaza es mayor al que solemos encontrar. 

El monitoreo de la botnet sugiere que elpropósito principal de Mumblehard podría ser enviar mensajes de spam aprovechando la protección que le otorga la reputación de las direcciones IP legítimas de las máquinas infectadas.

 

Prevención
Les recomendamos a las víctimas buscar en los servidores las tareas no solicitadas que se crearon en
el programador Cron Job para todos los usuarios. Éste es el mecanismo que utiliza Mumblehard para
activar el backdoor cada 15 minutos. Normalmente se instala en /tmp o /var/tmp. Si se monta el
directorio tmp con la opción noexec, directamente se impide que pueda iniciarse en primer lugar.

Categorías » Boletines
En Jul. 29, 2015