le 20 octobre 2016

La plupart des Trojans Backdoors représent une menace pour Microsoft Windows, mais certains peuvent également fonctionner sur les appareils sous Linux.

C'est le cas du programme malveillant Linux.BackDoor.FakeFile.1 étudié au mois d'octobre 2016. Il se propage, selon un certain nombre de critères, sous couvert d'un fichier PDF, d'un document Microsoft Office ou Open Office dans une archive.

Lors de son lancement, le Trojan s'enregistre vers le dossier .gconf/apps/gnome-common/gnome-common, situé dans le dossier personnel de l'utilisateur. Ensuite, dans le dossier depuis lequel il a été lancé, il cherche un fichier caché avec le nom lui correspondant, puis il le met à la place du fichier exécutable. Par exemple, si le fichier ELF Linux.BackDoor.FakeFile.1 portait le nom AnyName.pdf, il va chercher un fichier caché avec le nom AnyName.pdf, puis l’enregistre au lieu du fichier d’origine en utilisant la commande mv. AnyName.pdf AnyName.pdf. Si le document est absent, Linux.BackDoor.FakeFile.1 le crée et l'ouvre dans le programme gedit.

Puis le Trojan vérifie le nom de la distribution Linux utilisée sur l'appareil attaqué : Si le nom diffère de openSUSE, Linux.BackDoor.FakeFile.1 écrit dans les fichiers <HOME>/.profile ou <HOME>/.bash_profile une commande pour son propre lancement automatique. Il récupère ensuite de son propre fichier des données de configuration et les déchiffre, puis il lance deux flux : l'un communique avec le serveur de contrôle et l'autre surveille la durée de la connexion. Si le trojan ne reçoit aucune commande pendant au moins 30 minutes, la connexion est terminée.

Linux.BackDoor.FakeFile.1 peut exécuter les commandes suivantes :

• transmettre au serveur de contrôle le nombre de message envoyés lors la connexion précédente,
• transmettre la liste des fichiers se trouvant dans un dossier spécifié,
• transmettre au serveursde contrôle un fichier spécifié ou un dossier particulier avec tout son contenu,
• supprimer un répertoire,
• supprimer un fichier,
• renommer le dossier spécifié,
• se supprimer,
• lancer une nouvelle copie du processus,
• fermer la connexion en cours,
• organiser backconnect et lancer sh
• terminer backconnect,
• ouvrir le fichier exécutable d'un processus en écriture,
• fermer le fichier du processus,
• créer un fichier ou un dossier,
• enregistrer les valeurs transmises vers un fichier,
• obtenir les noms, les autorisations, les tailles et les dates de création des fichiers se trouvant dans un répertoire spécifié,
• définir les droits 777 pour un fichier spécifié,
• terminer l'exécution du backdoor.

Linux.BackDoor.FakeFile.1 ne nécessite pas les privilèges root, il peut exécuter des fonctions malveillantes avec les privilèges de l’utilisateur courant, au nom de qui il a été lancé. La signature de ce Trojan a été joutée aux bases de données virales Dr.Web, ce Trojan ne représente donc aucun danger pour nos utilisateurs.

Plus d'infos sur ce Trojan