[SOLUCIONADO]Troyano en Ubuntu Phone



  • Hola chicos, me han infectado con un troyano llamado skeleton, necesito vuestra ayuda para poner los archivos como estaban, es decir editar archivos de inicio que se ejecutan durante el boot. Solo necesito una copia de cada archivo, capturas me servirán.

    De paso les pondre aquí detalles del troyano para que vayan mirando y posteriormente quemando.

    Debate en mantenimiento.



  • ¿Que has hecho?



  • @drwd, los ataques de skeleton parece que afectan a Windows y se aloja en memoria, leyendo el teclado del usuario para coger información de cuentas y contraseñas. por lo que Ubuntu en principio no estaría afectado. 


    Pueden entrar en los PC's a través de descargas de pluggins u otros widgets o paquetes que descaguemos, y pincipalmente son para Windows también.

    Si te refieres al móvil con Ubuntu, ¿tienes alguna prueba de que pudiera estar infectado?. En caso de que archivos de sistema estén infectados, con una reinstalación del sistema no habría problema en principio en volver a la normalidad. 

     Un saludo!



  • Vigotron pruebas me sobran, de hecho sí, podría reinstalar ubuntu y problema solucionado, pero eso solo seria pensar en mi y ser egoísta. En cambio si en vez de eliminar, lo publico, lo muestro y demuestro con las pruebas, los que estén infectados veran y sabrán que también lo tienen.

    A parte de lo que has comentado, quiero decirte que este troyano afecta al navegador, es decir se activa también cuando se abre el navegador. Por lo que si infecta y es muy grave.

    Aqui abajo ire publicando las capturas:










  • Tambien quiero saber si estos archivos son de Ubuntu o del troyano:

    Aquí abajo la imagen








  • Aquí la manera que me he dado cuenta que algo no andaba bien:

    El navegador iba lento mas lento de lo normal, 8 megas de velocidad pero iba lento.

    Aquí la imagen:




    Aquí imagenes de las conexiones que impedían que conecte, troyano haciendo conexiones.







  • Hola @{drwd} ,

    No te preocupes todo indica que es un archivo del sistema... Te dejo algunos enlaces para que investigues tu que sabes más estas preocupado por esto. Seguro que averiguas que hace y para que sirve.

    https://www.snip2code.com/Snippet/51966/Debian-skeleton-init-d-script
    https://gist.github.com/silvioprog/8fc03128a7b1169cf3e3
    https://launchpad.net/skeleton

    Espero no equivocarme, por el bien de todos. 🙂



  • Gracias @bolly, ire estudiando a fondo este bicho. Saludos.



  • http://manpages.ubuntu.com/manpages/gutsy/es/man8/update-rc.d.8.html

    Enviado desde mi Aquaris E5 mediante Tapatalk



  • @{drwd} , no lo llames "bicho", que parece que digas que es un malware y asustas al personal. :-??

    Por si acaso no me he explicado bien, es un archivo del sistema Ubuntu, yo también lo tengo y todos lo tenemos, más concretamente es un script de inició de sistema que da la casualidad que tiene el mismo nombre que el famoso troyano.



  • @bolly he mostrado las conexiones y he pasado la fuente de los archivos. Tambien aparece que infecta android.

    Esto antes no lo habia visto nunca. Que un administrador o personal a cargo del sistema me lo confirme, pero me la juego que es troyano puro. Saludos.



  • @{drwd}, perdona pero no veo la conexión que se supone que esta utilizando skeleton. ¿Con la fuente te refieres al código del script? Lo de que infecta a Android, más bien aparecerá que también lo utiliza Android.



  • drwd dijo:
    @bolly he mostrado las conexiones y he pasado la fuente de los archivos. Tambien aparece que infecta android.

    Esto antes no lo habia visto nunca. Que un administrador o personal a cargo del sistema me lo confirme, pero me la juego que es troyano puro. Saludos.



    @drwd, ya lo encontré:

    Es un script de prueba de "sysvinit package" que no tiene derechos de ejecución como en este bug reportan.

    https://bugs.launchpad.net/ubuntu/+source/sysvinit/+bug/738582

    Por favor, podrías modificar el título del hilo para que la gente no piense que el sistema no es seguro.

    Lo de que Internet te va lento si todavía te va... podría ser porque no paras de hackearlo 😛 .

    Por cierto.... ¿que te has jugado? 😉



  • @bolly las conexiones están y se ejecutan cada vez que se abre el navegador:

    • Con todos mis respetos, no se de que hablas al mencionar “ no paras de hackearlo ”.

    • Si tienes telegram podemos seguir ahi, no pretendo hacer polémica tampoco, esto no es youtube.

    Saludos.



  • Buenas @bolly y @drwd


    La respuesta a todo el hilo está en la primera captura que adjuntaste y lo que comentan @{daga535}  y @{Bolly} tiene todo el sentido.

    Creo que nuestro amigo Miquel Van Smoorenburg creó el archivo skeleton en /etc/init.d como archivo base para crear servicios tipo demonio (daemon) u otras tareas automáticas (cron jobs?) . Cuando se quería crear un servicio o tarea se solía copiar directamente este archivo donde querías ejecutar y lo modificabas para tus necesidades. 


    Efectivamente, cuando abrimos el navegador, si analizamos paso a paso se deben iniciar servicios y conexiones en segundo plano que atañen a las capas de red y transporte. Lo bonito de esta parte de las comunicaciones es que todo sea transparente para el resto de los mortales y que simplemente disfruten de la tecnología, mientras que muchos otros se maravillan con el mundo que hay detrás, como @drwd (yo también me incluyo).

    Lo único que ha pasado aquí es que se nos cruzaron los "skeletons" 😛

    Salu2!


  • Como no veo movimiento, si nadie tiene inconveniente cierro el hilo!

    Salu2!