Investigadores de Symantec han descubierto un nuevo gusano Linux, al parecer, aún no se utiliza de forma activa.

Apodado "Darlloz", sus objetivos no son sólo las computadoras tradicionales, sino también dispositivos habilitados para Internet, como routers domésticos, decodificadores, cámaras de seguridad e incluso los sistemas de control industrial. El gusano se inserta en los dispositivos mediante la explotación de una vulnerabilidad de PHP que ya fue corregida en mayo de 2012.

"Luego de la ejecución, el gusano genera direcciones IP aleatoriamente, accede a una ruta específica en la máquina con identificadores y contraseñas conocidas y envía solicitudes HTTP POST que se aprovechan de la vulnerabilidad. Si el objetivo no cuenta con el parche de seguridad, descarga el gusano de un servidor malicioso y comienza la búsqueda de su próximo objetivo", según explica el investigador Kaoru Hayashi. "Actualmente, el gusano parece infectar sólo a los sistemas x86 de Intel, ya que la URL identificada en el código del exploit está incrustada en los archivos binarios ELF (Executable and Linkable Format) para arquitecturas Intel".

Los investigadores también descubrieron que el atacante ha creado variantes del gusano orientadas a otras arquitecturas, tales como ARM, PPC, MIPS y Mipsel, generalmente utilizadas en los dispositivos habilitados para Internet antes mencionados. El atacante aparentemente creó el gusano basado en el código de una prueba de concepto, publicada a finales del mes pasado.

Los usuarios también deben considerar la actualización del software de seguridad y fortalecer las contraseñas de sus dispositivos, así como bloquear solicitudes HTTP POST entrantes para rutas específicas en el gateway o en cada dispositivo.