Revenir vers la liste d'actualités
le 23 juillet 2015
Ce backdoor, baptisé Linux.BackDoor.Dklkt.1, est d'origine chinoise. Les spécialistes supposent que les malfaiteurs souhaitaient initialement doter ce Trojan de plusieurs fonctionnalités telles que gestionnaire du système de fichiers, Trojan pour lancer des attaques DDoS, serveur proxy ect. Cependant ils n'ont pas manifestement pas atteint leur objectif. Il faut noter que les composants et les fichiers exécutables du Trojan sont compatibles avec les architectures Linux et Windows. Cependant, dans le code analysé, les chercheurs de Doctor Web ont trouvé des lignes de code absurdes qui ne ressemblent pas à celles utilisées dans Linux.
Lors de son lancement, Linux.BackDoor.Dklkt.1 vérifie la présence dans son dossier du fichier de configuration qui comprend ses paramètres. Ce fichier inclut trois adresses de serveurs de gestion, mais le Trojan en utilise une seule afin de conserver les autres en réserve. Le fichier de configuration est crypté en Base64. Linux.BackDoor.Dklkt.1 essaie de s'enregistrer sur l'ordinateur attaqué en tant que daemon (service système). En cas d'échec, il s'arrête.
En cas de réussite, le Trojan prépare et envoie au serveur de gestion les données sur le système infecté. Le trafic de données entre le backdoor et le serveur de gestion est compressé par l'algorithme LZO et crypté par l'algorithme Blowfish. Outre le nombre de chiffres nécessaire pour l'identification proprement dite, ce numéro doit contenir une somme de contrôle basée sur ces chiffres à des fins de contrôle d'intégrité.
Puis Linux.BackDoor.Dklkt.1 passe en mode veille pour attendre des commandes, à savoir : lancer des attaques DDoS, lancer le serveur SOCKS-proxy, lancer l'application spécifiée dans la commande, redémarrer ou arrêter l'ordinateur. Linux.BackDoor.Dklkt.1 soit ignore, soit traite d'une manière incorrecte les autres commandes. Le Trojan peut lancer des attaques DDoS de types suivants :
- SYN Flood
- HTTP Flood (requêtes POST/GET)
- ICMP Flood
- TCP Flood
- UDP Flood
La signature de ce backdoor a été ajoutée aux bases virales Dr.Web, c'est pourquoi les utilisateurs de Dr.Web pour Linux sont protégés contre ce logiciel malveillant.
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments