Pour les utilisateurs

Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Recherche
Recherche

Contacter-nous !
Support 24/24 | Rules regarding submitting

Envoyer un message

Requête à l'aide du formulaire

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -
Créer une nouvelle requête

Nous téléphoner

0 825 300 230

Profil

FR

RU CN DE EN ES FR IT JP KZ UZ PL BY
Fermer
News

News par thème

News sur les virus
" Lumières sur la sécurité "
Widgets
Centre de presse

Revenir vers la liste d'actualités

Nouveau backdoor ciblant Linux

le 23 juillet 2015

Les spécialistes de Doctor Web ont examiné un nouveau backdoor ciblant les OS de la famille Linux.

Ce backdoor, baptisé Linux.BackDoor.Dklkt.1, est d'origine chinoise. Les spécialistes supposent que les malfaiteurs souhaitaient initialement doter ce Trojan de plusieurs fonctionnalités telles que gestionnaire du système de fichiers, Trojan pour lancer des attaques DDoS, serveur proxy ect. Cependant ils n'ont pas manifestement pas atteint leur objectif. Il faut noter que les composants et les fichiers exécutables du Trojan sont compatibles avec les architectures Linux et Windows. Cependant, dans le code analysé, les chercheurs de Doctor Web ont trouvé des lignes de code absurdes qui ne ressemblent pas à celles utilisées dans Linux.

Lors de son lancement, Linux.BackDoor.Dklkt.1 vérifie la présence dans son dossier du fichier de configuration qui comprend ses paramètres. Ce fichier inclut trois adresses de serveurs de gestion, mais le Trojan en utilise une seule afin de conserver les autres en réserve. Le fichier de configuration est crypté en Base64. Linux.BackDoor.Dklkt.1 essaie de s'enregistrer sur l'ordinateur attaqué en tant que daemon (service système). En cas d'échec, il s'arrête.

En cas de réussite, le Trojan prépare et envoie au serveur de gestion les données sur le système infecté. Le trafic de données entre le backdoor et le serveur de gestion est compressé par l'algorithme LZO et crypté par l'algorithme Blowfish. Outre le nombre de chiffres nécessaire pour l'identification proprement dite, ce numéro doit contenir une somme de contrôle basée sur ces chiffres à des fins de contrôle d'intégrité.

Puis Linux.BackDoor.Dklkt.1 passe en mode veille pour attendre des commandes, à savoir : lancer des attaques DDoS, lancer le serveur SOCKS-proxy, lancer l'application spécifiée dans la commande, redémarrer ou arrêter l'ordinateur. Linux.BackDoor.Dklkt.1 soit ignore, soit traite d'une manière incorrecte les autres commandes. Le Trojan peut lancer des attaques DDoS de types suivants :

  • SYN Flood
  • HTTP Flood (requêtes POST/GET)
  • ICMP Flood
  • TCP Flood
  • UDP Flood

La signature de ce backdoor a été ajoutée aux bases virales Dr.Web, c'est pourquoi les utilisateurs de Dr.Web pour Linux sont protégés contre ce logiciel malveillant.

Plus d'infos sur cette menace

Votre avis nous intéresse

Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments