Le 13 septembre 2016

DDoS (Distributed Denial of Service en anglais, attaque ciblée conduisant à un déni de service) est la forme d’attaque la plus répandue sur les ressources réseau. Les attaquants envoient au serveur cible un flux massif de requêtes qu’il est incapable de traiter, ce qui provoque son plantage. Souvent, de telles attaques sont organisées à l'aide de programmes malveillants spécialisés. L'un d'eux, appelé Linux.DDoS.93 a été analysé par les analystes de Doctor Web.

Le Trojan Linux.DDoS.93 a été créé pour infecter les appareils fonctionnant sous les systèmes d'exploitation de la famille Linux. Vraisemblablement, ce malware est propagé en utilisant un jeu de vulnérabilités ShellShock dans le programme GNU Bash.

Au démarrage, Linux.DDoS.93 essaie de modifier le contenu d'un certain nombre de dossiers système Linux pour assurer son auto démarrage. Puis le Trojan cherche sur l'ordinateur attaqué d'autres instances Linux.DDoS.93 et, s'il en trouve, il met fin à leur fonctionnement.

Lancé avec succès dans le système infecté, Linux.DDoS.93 crée deux processus enfants. Le premier communique avec le serveur de contrôle, et le deuxième, en boucle continue, vérifie si le processus parent est en cours d'exécution et le redémarre en cas d'arrêt. À son tour, le processus parent surveille également le processus enfant et le redémarre si nécessaire. Ainsi, le Trojan mantient son fonctionnement continu sur la machine contaminée.

Linux.DDoS.93 est capable d'exécuter les commandes suivantes:

• mettre à jour le programme malveillant,
• télécharger et exécuter le fichier spécifié dans la commande,
• se supprimer,
• lancer une attaque en utilisant la méthode UDP flood sur le port spécifié,
• lancer une attaque en utilisant la méthode UDP flood sur le port aléatoire,
• lancer une attaque en utilisant la méthode Spoofed UDP flood,
• lancer une attaque en utilisant la méthode TCP flood,
• lancer une attaque en utilisant la méthode TCP flood (dans les paquets, des données aléatoires dont la taille est de 4096 octets sont enregistrées),
• lancer une attaque en utilisant la méthode HTTP flood et en utilisant les requêtes GET,
• lancer une attaque en utilisant la méthode HTTP flood et en utilisant les requêtes POST,
• lancer une attaque en utilisant la méthode HTTP flood et en utilisant les requêtes HEAD,
• envoyer aux 255 adresses IP aléatoires des requêtes HTTP avec les paramètres spécifiés,
• terminer l'exécution,
• envoyer la commande « ping ».

Lorsque le Trojan reçoit une commande ordonnant de lancer une attaque DDoS ou d'envoyer des requêtes aléatoires, il arrête d'abord les processus enfants, puis il lance 25 nouveaux processus qui a leur tour effectuent l'attaque par le biais d'une des méthodes spécifiées par les pirates. La signature de Linux.DDoS.93 a été ajoutée aux bases de données virales Dr.Web, ce Trojan ne représente donc pas de danger pour nos utilisateurs.

Plus d'infos sur ce Trojan