le 13 avril 2016

L'apparition de nouveaux Trojans backdoors capables d'exécuter des commandes et de donner la possibilité de contrôler l'ordinateur contaminé à distance est toujours un fait notable dans le domaine de la sécurité informatique, surtout si de tels programmes malveillants ciblent les systèmes d'exploitation de la famille Linux. Au mois d'avril 2016, les analystes de Doctor Web ont détecté plusieurs Trojans de ce type nommés respectivement Linux.BackDoor.Xudp.1, Linux.BackDoor.Xudp.2 et Linux.BackDoor.Xudp.3.

Le premier maillon de la chaîne de contamination est un fichier ELF détecté par Dr.Web Antivirus sous le nom de Linux.Downloader.77. Il est intéressant de noter qu'au départ, cette application a été conçue pour l'organisation d’attaques ciblant les nœuds distants par des envois massifs de paquets UDP à une adresse spécifiée. Linux.Downloader.77 est une version de l'application contenant un Trojan. La victime potentielle télécharge et exécute sur son ordinateur cet utilitaire, qui, une fois chargé, demande à l'utilisateur de lui fournir les privilèges root, sous peine de ne pas fonctionner. Il est à noter que les programmes similaires dits " flooders " exécutent souvent des fonctions supplémentaires masquées, comme, par exemple, télécharger d'autres programmes dangereux sur Internet. À cet égard, le Linux.Downloader.77 ne fait pas exception.

Si Linux.Downloader.77 obtient les privilèges root, il télécharge et exécute un autre script depuis un serveur pirate - Linux.Downloader.116. Ce script charge le module principal du backdoor Linux.BackDoor.Xudp.1 et l'enregistre sous le nom /lib/.socket1 ou /lib/.loves, place le scénario d'auto démarrage dans le dossier /etc/ sous le nom rc.local et configure la tâche de lancement automatique du Trojan dans cron. De plus, lors de l'installation du logiciel malveillant, le contenu iptables est effacé.

Après son lancement, Linux.BackDoor.Xudp.1 déchiffre un bloc de données de configuration stocké dans son corps et contenant des informations nécessaires à son fonctionnement, puis il envoie au serveur des données sur l'ordinateur contaminé. Il lance ensuite trois flux indépendants. Dans le premier flux, le backdoor utilise le protocole HTTP. Le Trojan envoie au serveur de contrôle un message informant qu'il a démarré, il reçoit une clé de chiffrage de messages, des données sur le serveur auquel il doit envoyer des requêtes et le numéro de port. Puis Linux.BackDoor.Xudp.1 envoie des requêtes vers le serveur par intervalles. En réponse, il peut recevoir une commande. Il est probable que ce mécanisme soit utilisé pour les mises à jour automatiques du programme malveillant. Toutes les directives reçues sont chiffrées, et le Trojan les déchiffre en utilisant la clé qu'il a générée.

Dans le seconde flux, Linux.BackDoor.Xudp.1 attend égalemnt des commandes du serveur mais via le protocole UDP. Dans le troisième flux, le Trojan, avec des intervalles spécifiés, envoie au serveur de contrôle un datagramme pour signaler qu'il fonctionne.

Parmi les commandes que Linux.BackDoor.Xudp.1 peut exécuter, les chercheurs ont détecté une commande pour l'envoi permanent de diverses requêtes vers un nœud spécifié (flood), pour la réalisation d’attaques DDoS, pour l'exécution de différentes commandes sur l'ordinateur contaminé. Linux.BackDoor.Xudp.1 1 est aussi capable, sur commande, de scanner les ports dans une plage spécifiée d’adresses IP, il peut également lancer des fichiers spécifiés par les pirates, ainsi que leur envoyer des fichiers ou effectuer d'autres tâches. Les analystes de Doctor Web soulignent qu'il est probable que ce Trojan soit en cours de développement actif compte tenu du fait que ses modifications apparaissent régulièrement.

Les Trojans Linux.BackDoor.Xudp.2 et Linux.BackDoor.Xudp.3 sont des versions améliorées du backdoor Linux.BackDoor.Xudp.1 et ils diffèrent seulement par quelques détails — par exemple, par le nom sous lequel le programme malveillant est enregistré dans le volume système, par le volume de données transmises au serveur de contrôle ou par le jeu de commandes exécutables. Dr.Web pour Linux détecte tous ces programmes malveillants qui ne représentent donc aucun danger pour nos utilisateurs.

Plus d'infos sur ce Trojan