Un nouveau Trojan ciblant Linux

Top des actualités Doctor Web | Real-time threat news | Hot news | Toutes les actualités | Alertes virales

le 13 avril 2015

Les spécialistes de Doctor Web ont examiné un nouveau Trojan capable d'infecter les OS de la famille Linux. Ce logiciel malveillant peut scanner des ressources web afin d’y trouver des vulnérabilités, ainsi qu’attaquer des ressources spécifiées via HTTP. Les pirates peuvent le contrôler via le protocole IRC.

Le logiciel malveillant, baptisé Linux.BackDoor.Sessox.1, s'enregistre sur la machine infectée dans les paramètres de l'auto démarrage. Puis il se connecte au serveur de gestion qui assure le fonctionnement du chat, qui effectue l'échange de messages via IRC (Internet Relay Chat). C'est dans ce chat que le bot reçoit des commandes. Parmi les commandes exécutées, notons :

  • joindre le chat-canal IRC avec les données d'enregistrement spécifiées ;
  • envoyer au canal IRC les données sur la durée de fonctionnement sur la machine infectée (uptime) ;
  • modifier son nom ;
  • envoyer au serveur le message PONG (en réponse à la commande PING) ;
  • exécuter une des fonctions suivantes :
    • lancer une attaque sur un site via l’envoi à répétition de requêtes GET (HTTP Flooder) ;
    • lancer un scan pour rechercher la présence de la vulnérabilité ShellShock (ShellShock Scanner) ;
    • lancer le scan des scripts PHP (PHP, Scanner) ;
    • lancer le serveur proxy (SOCKS5 Proxy).

    Le Trojan peut attaquer le site web spécifié par les malfaiteurs en envoyant à répétition des requêtes GET. Ce Trojan Linux.BackDoor.Sessox.1 peut également scanner le serveur pour rechercher la présence de la vulnérabilité ShellShock qui permet de lancer à distance un code aléatoire sur ce serveur. De la même façon, ce malware peut scanner des scripts PHP à l'aide de requêtes POST spécifiques afin de lancer des scripts sur le serveur. Ainsi, les malfaiteurs peuvent installer la copie du Trojan Linux.BackDoor.Sessox.1 dans le système infecté afin de le distribuer.

    La signature du malware a été ajoutée aux bases virales Dr.Web et Linux.BackDoor.Sessox.1 ne représente aucune menace pour les utilisateurs des logiciels Dr.Web.

    Plus d'infos sur cette menace

0
Dernières news Toutes les news