le 3 décembre 2015

Le nombre de malwares ciblant Linux croît chaque jour. Les chercheurs de Doctor Web ont découvert un Trojan Linux.Rekoobe.1 qui est capable de télécharger des fichiers sur un serveur de contrôle et de commande (serveur C&C), et d’envoyer des fichiers sur ce serveur sur commande des cybercriminels , ainsi que d'interagir avec l'interpréteur de commandes Linux sur l'appareil infecté.

Les premières modifications de Linux.Rekoobe.1 ont infecté les systèmes sous Linux ayant une architecture SPARC, mais plus tard, les malfaiteurs ont modifié ce Trojan pour le rendre compatible avec Intel. Les spécialistes de Doctor Web ont enregistré des échantillons de Linux.Rekoobe.1 ciblant les versions 32- et 64- bits Linux compatibles avec Intel.

Le Trojan Linux.Rekoobe.1utilise un fichier de configuration chiffré. Une fois le fichier lu, il s’adresse périodiquement au serveur C&C. Si nécessaire, le Trojan établit une connexion avec le serveur C&C via un serveur proxy, dont il extrait les données d'authentification de son fichier de configuration. Toutes les données envoyées et reçues par ce Trojan sont divisées en blocs séparés. Chaque bloc est crypté et possède sa propre signature.

Pour vérifier les données cryptées reçues du serveur C&C, le Trojan utilise une procédure relativement compliquée. Néanmoins, Linux.Rekoobe.1 peut exécuter seulement trois commandes, à savoir : télécharger et envoyer des fichiers, envoyer les commandes reçues à l'interpréteur de commandes Linux et transmettre la sortie reçue au serveur de gestion, ce qui permet d'interagir à distance avec l'appareil infecté.

Les signatures de toutes les modifications de ce Trojan ont été ajoutées à la base virale Dr.Web, c'est pourquoi le Linux.Rekoobe.1 ne représente aucun danger pour les utilisateurs de Dr.Web Antivirus pour Linux.