Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24

Nous téléphoner

+7 (495) 789-45-86

Forum

Vos requêtes

  • Toutes :
  • Non clôturées :
  • Dernière : le -

Nous téléphoner

+7 (495) 789-45-86

Profil

Retour aux actualités

Détection d’une nouvelle porte dérobée polyvalente ciblant Linux

22 janvier 2016

Les chercheurs de Doctor Web ont étudié un Trojan polyvalent destiné à infecter Linux. Son activité malveillante est très versatile et inclut le téléchargement de plusieurs fichiers sur l’appareil infecté, différentes opérations menées avec des objets fichiers, des captures d’écran, du keylogging et plusieurs autres fonctions.

Ce programme malveillant a été ajouté à la base virale Dr.Web sous le nom Linux.BackDoor.Xunpes.1. Il s’agit d’un injecteur et d’une porte dérobée qui mène les principales fonctions d’un espion sur la machine infectée.

L’injecteur a été créé en utilisant Lazarus, un IDE multi plateforme gratuity pour le compilateur Free Pascal. Une fois lancé, il affiche la fenêtre de dialogue suivante avec une liste de dispositifs destinés à mener des opérations avec le crypto-monnaie Bitcoin :

#drweb

Le corps de l’injecteur contient la porte dérobée – le second composant du Trojan- qui est stockée sous forme non cryptée et sauvegardée dans le dossier /tmp/.ltmp/ après le lancement de l’injecteur. La porte dérobée est chargée d’exécuter les fonctions malveillantes.

Une fois lancée, la porte dérobée écrite en C décrypte le fichier de configuration en utilisant la clé codée en dur (hard-coded) dans son corps. Ses paramètres de configuration incluent une liste d’adresses de serveurs C&C et de serveurs proxy ainsi que d’autres données nécessaires au fonctionnement du logiciel malveillant. Ensuite, le Trojan établit une connexion avec le serveur et attend les commandes des cybercriminels.

Au total, Linux.BackDoor.Xunpes.1 est capable d’exécuter plus de 40 commandes. Parmi elles, l’enregistrement des frappes clavier (keylogging) et le téléchargement et le lancement d’un fichier, dont le chemin et les arguments sont reçus du serveur, qui termine le travail de la porte dérobée. En outre, il peut également envoyer des noms de fichiers dans un répertoire spécifique et charger des fichiers sur le serveur. Enfin, le Trojan créé, supprime et renomme des fichiers et des dossiers, effectue des captures d’écran et exécute des commandes bash, et la liste est loin d’être exhaustive.

La signature de Linux.BackDoor.Xunpes.1 a été ajoutée aux bases virales Dr.Web. Les utilisateurs de Dr.Web for Linux sont donc protégés.

En savoir plus sur ce Trojan

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2017

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg