Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Nouveau backdoor ciblant Linux

le 23 juillet 2015

Les spécialistes de Doctor Web ont examiné un nouveau backdoor ciblant les OS de la famille Linux.

Ce backdoor, baptisé Linux.BackDoor.Dklkt.1, est d'origine chinoise. Les spécialistes supposent que les malfaiteurs souhaitaient initialement doter ce Trojan de plusieurs fonctionnalités telles que gestionnaire du système de fichiers, Trojan pour lancer des attaques DDoS, serveur proxy ect. Cependant ils n'ont pas manifestement pas atteint leur objectif. Il faut noter que les composants et les fichiers exécutables du Trojan sont compatibles avec les architectures Linux et Windows. Cependant, dans le code analysé, les chercheurs de Doctor Web ont trouvé des lignes de code absurdes qui ne ressemblent pas à celles utilisées dans Linux.

Lors de son lancement, Linux.BackDoor.Dklkt.1 vérifie la présence dans son dossier du fichier de configuration qui comprend ses paramètres. Ce fichier inclut trois adresses de serveurs de gestion, mais le Trojan en utilise une seule afin de conserver les autres en réserve. Le fichier de configuration est crypté en Base64. Linux.BackDoor.Dklkt.1 essaie de s'enregistrer sur l'ordinateur attaqué en tant que daemon (service système). En cas d'échec, il s'arrête.

En cas de réussite, le Trojan prépare et envoie au serveur de gestion les données sur le système infecté. Le trafic de données entre le backdoor et le serveur de gestion est compressé par l'algorithme LZO et crypté par l'algorithme Blowfish. Outre le nombre de chiffres nécessaire pour l'identification proprement dite, ce numéro doit contenir une somme de contrôle basée sur ces chiffres à des fins de contrôle d'intégrité.

Puis Linux.BackDoor.Dklkt.1 passe en mode veille pour attendre des commandes, à savoir : lancer des attaques DDoS, lancer le serveur SOCKS-proxy, lancer l'application spécifiée dans la commande, redémarrer ou arrêter l'ordinateur. Linux.BackDoor.Dklkt.1 soit ignore, soit traite d'une manière incorrecte les autres commandes. Le Trojan peut lancer des attaques DDoS de types suivants :

  • SYN Flood
  • HTTP Flood (requêtes POST/GET)
  • ICMP Flood
  • TCP Flood
  • UDP Flood

La signature de ce backdoor a été ajoutée aux bases virales Dr.Web, c'est pourquoi les utilisateurs de Dr.Web pour Linux sont protégés contre ce logiciel malveillant.

Plus d'infos sur cette menace

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2021

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg