Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24

Nous téléphoner

+7 (495) 789-45-86

Forum

Vos requêtes

  • Toutes :
  • Non clôturées :
  • Dernière : le -

Nous téléphoner

+7 (495) 789-45-86

Profil

Retour aux actualités

Doctor Web a examiné un backdoor ciblant Linux

le 20 octobre 2016

La plupart des Trojans Backdoors représent une menace pour Microsoft Windows, mais certains peuvent également fonctionner sur les appareils sous Linux.

C'est le cas du programme malveillant Linux.BackDoor.FakeFile.1 étudié au mois d'octobre 2016. Il se propage, selon un certain nombre de critères, sous couvert d'un fichier PDF, d'un document Microsoft Office ou Open Office dans une archive.

Lors de son lancement, le Trojan s'enregistre vers le dossier .gconf/apps/gnome-common/gnome-common, situé dans le dossier personnel de l'utilisateur. Ensuite, dans le dossier depuis lequel il a été lancé, il cherche un fichier caché avec le nom lui correspondant, puis il le met à la place du fichier exécutable. Par exemple, si le fichier ELF Linux.BackDoor.FakeFile.1 portait le nom AnyName.pdf, il va chercher un fichier caché avec le nom AnyName.pdf, puis l’enregistre au lieu du fichier d’origine en utilisant la commande mv. AnyName.pdf AnyName.pdf. Si le document est absent, Linux.BackDoor.FakeFile.1 le crée et l'ouvre dans le programme gedit.

Puis le Trojan vérifie le nom de la distribution Linux utilisée sur l'appareil attaqué : Si le nom diffère de openSUSE, Linux.BackDoor.FakeFile.1 écrit dans les fichiers <HOME>/.profile ou <HOME>/.bash_profile une commande pour son propre lancement automatique. Il récupère ensuite de son propre fichier des données de configuration et les déchiffre, puis il lance deux flux : l'un communique avec le serveur de contrôle et l'autre surveille la durée de la connexion. Si le trojan ne reçoit aucune commande pendant au moins 30 minutes, la connexion est terminée.

Linux.BackDoor.FakeFile.1 peut exécuter les commandes suivantes :

  • transmettre au serveur de contrôle le nombre de message envoyés lors la connexion précédente,
  • transmettre la liste des fichiers se trouvant dans un dossier spécifié,
  • transmettre au serveursde contrôle un fichier spécifié ou un dossier particulier avec tout son contenu,
  • supprimer un répertoire,
  • supprimer un fichier,
  • renommer le dossier spécifié,
  • se supprimer,
  • lancer une nouvelle copie du processus,
  • fermer la connexion en cours,
  • organiser backconnect et lancer sh
  • terminer backconnect,
  • ouvrir le fichier exécutable d'un processus en écriture,
  • fermer le fichier du processus,
  • créer un fichier ou un dossier,
  • enregistrer les valeurs transmises vers un fichier,
  • obtenir les noms, les autorisations, les tailles et les dates de création des fichiers se trouvant dans un répertoire spécifié,
  • définir les droits 777 pour un fichier spécifié,
  • terminer l'exécution du backdoor.

Linux.BackDoor.FakeFile.1 ne nécessite pas les privilèges root, il peut exécuter des fonctions malveillantes avec les privilèges de l’utilisateur courant, au nom de qui il a été lancé. La signature de ce Trojan a été joutée aux bases de données virales Dr.Web, ce Trojan ne représente donc aucun danger pour nos utilisateurs.

Plus d'infos sur ce Trojan

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2017

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg