Le 5 février 2015

Les chercheurs de Doctor Web ont terminé l'examen du Trojan multi-composants Linux.BackDoor.Xnote.1, ciblant Linux. Ce logiciel malveillant peut exécuter des commandes distantes, y compris lancer des attaques DDoS.

Il se propage grâce à un moyen largement utilisé par les autres Trojans ciblant ce système d'exploitation : les malfaiteurs essaient de trouver le mot de passe pour accéder au système d’exploitation via SSH. Les chercheurs émettent l’hypothèse que les pirates chinois du groupe ChinaZ sont responsables de la création et de la diffusion de ce malware.

Après son lancement sur la machine infectée, Linux.BackDoor.Xnote.1 vérifie la présence de sa copie déjà opérationnelle dans le système et s'il la détecte, il s'arrête. L'installation du malware est possible s'il est lancé en tant que super-utilisateur (root) : lors de l'installation, le Trojan crée sa copie dans le dossier /bin/ sous le nom iptable6 et supprime le fichier d'origine depuis lequel il a été lancé. Linux.BackDoor.Xnote.1 cherche également dans le dossier /etc/init.d/ des scripts qui commencent par la ligne "!#/bin/bash", et y ajoute une autre ligne qui assure le lancement du backdoor.

Pour l'échange de données avec le serveur de gestion, le Trojan utilise l'algorithme décrit ci-après. Pour récupérer les données de configuration, le backdoor cherche dans son corps la ligne spéciale qui indique le début du bloc de configuration crypté, puis le décrypte et recherche un serveur actif dans la liste de serveurs de gestion. Avant de transmettre des paquets, le Trojan et le serveur de gestion les compressent à l'aide de la bibliothèque zlib.

Linux.BackDoor.Xnote.1 envoie au serveur des pirates les données sur le système infecté, puis attend les commandes. Si la commande prévoit l'exécution d'une action, le Trojan lance un processus qui établit sa connexion avec le serveur de gestion qui envoie les données de configuration, puis renvoie les résultats de l'exécution de la commande.

Ainsi, Linux.BackDoor.Xnote.1 peut donner l'identificateur unique de la machine infectée, lancer une attaque DDoS sur un nœud distant avec une adresse IP (attaques SYN Flood, UDP Flood, HTTP Flood et NTP Amplification), stopper une attaque, mettre à jour le fichier exécutable du backdoor, enregistrer les données dans un fichier ou se supprimer. Il peut également exécuter certaines actions avec les fichiers. Après avoir reçu la commande appropriée, envoie aux pirates les données sur le système de fichiers de l'ordinateur infecté (le total des blocs de données dans le système de fichiers, le nombre de blocs disponibles), puis il peut exécuter les commandes suivantes :

• énumérer les fichiers et répertoires dans le dossier spécifié ;
• envoyer les données sur la taille d’un fichier ;
• créer un fichier dans lequel le logiciel peut enregistrer les données reçues ;
• recevoir un fichier ;
• télécharger un fichier sur le serveur de gestion ;
• supprimer un fichier ;
• supprimer un répertoire ;
• envoyer au serveur de gestion le signal que le backdoor peut recevoir un fichier ;
• créer un répertoire ;
• renommer un fichier ;
• lancer un fichier.

De plus, il peut lancer le shell avec la variable d'environnement spécifiée et donner au serveur de gestion l'accès à cette variable, lancer sur l'ordinateur infecté un serveur proxy SOCKS ou lancer son propre serveur portmap.

La signature de ce malware a été ajoutée aux bases virales Dr.Web, c'est pourquoi les utilisateurs de Dr.Web pour Linux sont protégés contre ce malware.

Plus d'infos sur cette menace