Revenir vers la liste d'actualités
le 13 avril 2015
Le logiciel malveillant, baptisé Linux.BackDoor.Sessox.1, s'enregistre sur la machine infectée dans les paramètres de l'auto démarrage. Puis il se connecte au serveur de gestion qui assure le fonctionnement du chat, qui effectue l'échange de messages via IRC (Internet Relay Chat). C'est dans ce chat que le bot reçoit des commandes. Parmi les commandes exécutées, notons :
- joindre le chat-canal IRC avec les données d'enregistrement spécifiées ;
- envoyer au canal IRC les données sur la durée de fonctionnement sur la machine infectée (uptime) ;
- modifier son nom ;
- envoyer au serveur le message PONG (en réponse à la commande PING) ;
- exécuter une des fonctions suivantes :
- lancer une attaque sur un site via l’envoi à répétition de requêtes GET (HTTP Flooder) ;
- lancer un scan pour rechercher la présence de la vulnérabilité ShellShock (ShellShock Scanner) ;
- lancer le scan des scripts PHP (PHP, Scanner) ;
- lancer le serveur proxy (SOCKS5 Proxy).
Le Trojan peut attaquer le site web spécifié par les malfaiteurs en envoyant à répétition des requêtes GET. Ce Trojan Linux.BackDoor.Sessox.1 peut également scanner le serveur pour rechercher la présence de la vulnérabilité ShellShock qui permet de lancer à distance un code aléatoire sur ce serveur. De la même façon, ce malware peut scanner des scripts PHP à l'aide de requêtes POST spécifiques afin de lancer des scripts sur le serveur. Ainsi, les malfaiteurs peuvent installer la copie du Trojan Linux.BackDoor.Sessox.1 dans le système infecté afin de le distribuer.
La signature du malware a été ajoutée aux bases virales Dr.Web et Linux.BackDoor.Sessox.1 ne représente aucune menace pour les utilisateurs des logiciels Dr.Web.
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments