Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24

Nous téléphoner

+7 (495) 789-45-86

Forum

Vos requêtes

  • Toutes :
  • Non clôturées :
  • Dernière : le -

Nous téléphoner

+7 (495) 789-45-86

Profil

Retour aux actualités

Doctor Web a détecté un Trojan Windows qui contamine des appareils sous Linux

Le 6 février 2017

Linux.Mirai est le Trojan ciblant Linux le plus répandu à ce jour. La première version de ce programme malveillant a été ajoutée aux bases de données virales Dr.Web sous le nom de Linux.DDoS.87 au mois de mai 2016. Depuis lors, il a gagné une grande popularité parmi les auteurs de virus car ses codes sources ont été publiés sur Internet en accès libre. Au mois de février de l'année courante, les analystes de Doctor Web ont examiné un Trojan ciblant Windows qui favorise la propagation de Linux.Mirai.

Ce programme malveillant a reçu le nom Trojan.Mirai.1. A son lancement, le Trojan se connecte à son serveur de contrôle depuis lequel il télécharge un fichier de configuration, puis il en extrait une liste des adresses IP. Ensuite, Trojan.Mirai.1 lance un scanner qui consulte les noeuds du réseau selon la liste extraite du fichier de configuration et il tente de s'y authentifier en utilisant les combinaisons des logins et mots de passe figurant dans le même fichier. Le scanner de Trojan.Mirai.1 est capable de questionner plusieurs ports TCP en une fois.

Si le Trojan réussit à établir une connexion à un noeud ciblé via un protocole disponible, il exécute une séquence de commandes indiquée dans la configuration. Les seules exceptions sont les connexions via RDP, dans ce cas, aucune instruction n’est exécutée. De plus, en cas de connexion via Telnet à un appareil sous Linux, le Trojan télécharge sur l'appareil compromis un fichier binaire qui, à son tour, télécharge et lance le programme malveillant Linux.Mirai.

A part cela, Trojan.Mirai.1 peut exécuter sur la machine distante les commandes utilisant la technologie d'interaction entre-processus (IPC, inter-process communication). Le Trojan est capable de lancer de nouveaux processus et de créer des fichiers, par exemple, des fichiers batch Windows avec des jeux d'instructions. Si le SGBD Microsoft SQL Server tourne sur l’ordinateur distant, Trojan.Mirai.1 crée dans ce SGBD un utilisateur Mssqla avec le mot de passe Bus3456#qwein et qui a les privilèges sysadmin. Au nom de cet utilisateur, à l'aide du service SQL server job event, des tâches malveillantes sont automatiquement exécutées. De cette façon, par exemple, le Trojan lance selon une planification des fichiers exécutables avec les privilèges administrateur, il supprime des fichiers ou met des raccourcis dans le dossier système d'auto-démarrage (ou bien il crée des entrées dans le registre Windows). Après avoir établi une connexion au serveur MySQL distant, le Trojan à des fins similaires crée un utilisateur du SGBD MySQL avec le nom phpminds et le mot de passe phpgod..

Trojan.Mirai.1 a été ajouté aux bases virales de Dr.Web et il ne représente pas un danger pour nos utilisateurs.

Plus d'infos sur ce Trojan

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2017

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg