Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Revenir vers la liste d'actualités

Détection d’une nouvelle porte dérobée polyvalente ciblant Linux

22 janvier 2016

Les chercheurs de Doctor Web ont étudié un Trojan polyvalent destiné à infecter Linux. Son activité malveillante est très versatile et inclut le téléchargement de plusieurs fichiers sur l’appareil infecté, différentes opérations menées avec des objets fichiers, des captures d’écran, du keylogging et plusieurs autres fonctions.

Ce programme malveillant a été ajouté à la base virale Dr.Web sous le nom Linux.BackDoor.Xunpes.1. Il s’agit d’un injecteur et d’une porte dérobée qui mène les principales fonctions d’un espion sur la machine infectée.

L’injecteur a été créé en utilisant Lazarus, un IDE multi plateforme gratuity pour le compilateur Free Pascal. Une fois lancé, il affiche la fenêtre de dialogue suivante avec une liste de dispositifs destinés à mener des opérations avec le crypto-monnaie Bitcoin :

#drweb

Le corps de l’injecteur contient la porte dérobée – le second composant du Trojan- qui est stockée sous forme non cryptée et sauvegardée dans le dossier /tmp/.ltmp/ après le lancement de l’injecteur. La porte dérobée est chargée d’exécuter les fonctions malveillantes.

Une fois lancée, la porte dérobée écrite en C décrypte le fichier de configuration en utilisant la clé codée en dur (hard-coded) dans son corps. Ses paramètres de configuration incluent une liste d’adresses de serveurs C&C et de serveurs proxy ainsi que d’autres données nécessaires au fonctionnement du logiciel malveillant. Ensuite, le Trojan établit une connexion avec le serveur et attend les commandes des cybercriminels.

Au total, Linux.BackDoor.Xunpes.1 est capable d’exécuter plus de 40 commandes. Parmi elles, l’enregistrement des frappes clavier (keylogging) et le téléchargement et le lancement d’un fichier, dont le chemin et les arguments sont reçus du serveur, qui termine le travail de la porte dérobée. En outre, il peut également envoyer des noms de fichiers dans un répertoire spécifique et charger des fichiers sur le serveur. Enfin, le Trojan créé, supprime et renomme des fichiers et des dossiers, effectue des captures d’écran et exécute des commandes bash, et la liste est loin d’être exhaustive.

La signature de Linux.BackDoor.Xunpes.1 a été ajoutée aux bases virales Dr.Web. Les utilisateurs de Dr.Web for Linux sont donc protégés.

En savoir plus sur ce Trojan

Votre avis nous intéresse

Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments