Linux : un cheval de Troie joue les espions

Le par  |  38 commentaire(s)
tux-lit-journal

Capable de prendre des captures d'écran toutes les 30 secondes, un cheval de Troie cible des systèmes Linux. Il est également doté d'une fonctionnalité d'enregistrement de l'audio qui n'a pas été activée pour le moment.

Il n'est plus vraiment rare de trouver une machine fonctionnant avec un système Linux - en particulier des serveurs - qui a été infectée afin de rejoindre les rangs d'un botnet. Au troisième trimestre 2015, plus de 46 % des attaques DDoS enregistrées par Kaspersky Lab impliquaient des botnets Linux.

trojan-horseMême si sa conception a été pour le moins maladroite, un premier ransomware pour Linux a également été découvert fin 2015. Linux.Encoder avait été mis au jour par Doctor Web qui vient désormais de trouver un cheval de Troie Linux. Cela devient une vraie spécialité pour cet éditeur russe de solutions de sécurité. Son nom est Linux.Ekoms.1 et il a tout du petit espion.

Le malware inspecte deux dossiers en rapport avec Firefox et Dropbox (.mozilla/firefox/profiled ; .dropbox/DropboxCache). S'il ne les trouve pas, il opte pour un nouveau dossier où il effectue une copie de lui-même et depuis lequel il sera lancé.

En s'appuyant sur une adresse codée en dur dans son code, Linux.Ekoms.1 tente d'entrer en communication (chiffrée) avec un serveur distant. Toutes les 30 secondes, il effectue des captures d'écran qui sont sauvegardées au format JPEG dans un dossier temporaire et ultérieurement transmises au serveur.

Linux.Ekoms.1 a quelques autres artifices et spécificités. Il est également doté d'une fonctionnalité pour l'enregistrement de l'audio mais celle-ci n'a pour l'heure pas été activée. Une prochaine évolution envisagée par les auteurs du malware ?

Doctor Web ne divulgue malheureusement pas comment ce malware infecte des systèmes Linux et ne donne pas non plus une idée de l'ampleur de l'infection. Difficile alors de savoir si la menace est critique (ou s'il s'agit davantage d'une preuve de concept) mais c'est un bel argumentaire en faveur des anti-virus Linux…

Complément d'information

Vos commentaires Page 1 / 4

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1876463
Ben ben ben ...
Le #1876470
C'est pas une bonne semaine pour BigPapy dites moi
Le #1876481
Il existe d'innombrables malwares codés pour infecter des systèmes Linux.
Même moi je peux en fabriquer à la pelle, c'est un jeu d'enfant, mais de là à ce qu'ils arrivent à pénétrer une machine, c'est autre chose.

Est-ce que l'article dit que ce malware a infecté des machines et si oui combien ? Il me semble que non.

Par contre ça fait 10 ans que les éditeurs d'anti virus colportent ce genre d'information (on se demande bien pourquoi hein !), mais je n'ai jamais vu une seule machine utilisée normalement (c'est à dire installation à partir des dépôts, réglages standard de IPtables, mises à jour faites) qui ait été infectée.

Un lien direct vers une page web où on clique un bouton et où on se retrouve infecté ?
Bon courage, moi j'ai jamais vu.
Le #1876482
mouarf76 a écrit :

Il existe d'innombrables malwares codés pour infecter des systèmes Linux.
Même moi je peux en fabriquer à la pelle, c'est un jeu d'enfant, mais de là à ce qu'ils arrivent à pénétrer une machine, c'est autre chose.

Est-ce que l'article dit que ce malware a infecté des machines et si oui combien ? Il me semble que non.

Par contre ça fait 10 ans que les éditeurs d'anti virus colportent ce genre d'information (on se demande bien pourquoi hein !), mais je n'ai jamais vu une seule machine utilisée normalement (c'est à dire installation à partir des dépôts, réglages standard de IPtables, mises à jour faites) qui ait été infectée.

Un lien direct vers une page web où on clique un bouton et où on se retrouve infecté ?
Bon courage, moi j'ai jamais vu.


Ils se réjouissent d'un news qui n'a aucune incidence... Haaa la jeunesse, ça s'amuse d'un rien
Le #1876483
mouarf76 a écrit :

Il existe d'innombrables malwares codés pour infecter des systèmes Linux.
Même moi je peux en fabriquer à la pelle, c'est un jeu d'enfant, mais de là à ce qu'ils arrivent à pénétrer une machine, c'est autre chose.

Est-ce que l'article dit que ce malware a infecté des machines et si oui combien ? Il me semble que non.

Par contre ça fait 10 ans que les éditeurs d'anti virus colportent ce genre d'information (on se demande bien pourquoi hein !), mais je n'ai jamais vu une seule machine utilisée normalement (c'est à dire installation à partir des dépôts, réglages standard de IPtables, mises à jour faites) qui ait été infectée.

Un lien direct vers une page web où on clique un bouton et où on se retrouve infecté ?
Bon courage, moi j'ai jamais vu.


Comme sous Windows quoi, à partir du moment où tu fais tes mises à jour (Windows update, logiciels, anti-virus/anti malware), il ne peut rien t'arriver ...
Le #1876485
Retire anti virus et anti malware pour ce qui concerne linux.

Quand tu commences à avoir besoin d'un anti virus c'est que l'OS hôte a des problèmes de sécurité. Quand tu commences à rajouter des sources d'un éditeur tiers qui détient donc de fait des droits d'admin, ça commence à merder.
L'autre problème de Windows c'est que les gens ont pris l'habitude d'installer des logiciels et parfois leur donner des droits d'admin alors qu'ils ne peuvent rien savoir des logiciels en question, si leur éditeur est de confiance. Voilà pourquoi on trouve autant de Windows vérolés et pourquoi les boites d'anti virus ou autres anti malwares se font des couilles en or dans le monde Windows.

Des news qui crient au feu, quand personne n'a encore localisé le moindre incendie sous Linux, pour attirer le client ça fait des années que ça dure. En attendant, depuis 10 ans dans mon entourage, les mots "virus" ou "anti virus" ou "malware" ,'existent plus.
Le #1876486
FRANCKYIV a écrit :

mouarf76 a écrit :

Il existe d'innombrables malwares codés pour infecter des systèmes Linux.
Même moi je peux en fabriquer à la pelle, c'est un jeu d'enfant, mais de là à ce qu'ils arrivent à pénétrer une machine, c'est autre chose.

Est-ce que l'article dit que ce malware a infecté des machines et si oui combien ? Il me semble que non.

Par contre ça fait 10 ans que les éditeurs d'anti virus colportent ce genre d'information (on se demande bien pourquoi hein !), mais je n'ai jamais vu une seule machine utilisée normalement (c'est à dire installation à partir des dépôts, réglages standard de IPtables, mises à jour faites) qui ait été infectée.

Un lien direct vers une page web où on clique un bouton et où on se retrouve infecté ?
Bon courage, moi j'ai jamais vu.


Comme sous Windows quoi, à partir du moment où tu fais tes mises à jour (Windows update, logiciels, anti-virus/anti malware), il ne peut rien t'arriver ...


Je suis entrain de désinfecter justement une machine dont les mises à jour ont été faites et qui à Trend Micro Internet Security (à jour aussi)... A mon avis, son utilisateur à tout désactivé pour inoculer volontairement les virus car il aime nous voir (et surtout nous payer)... C'est certainement ça l'astuce ... Sacré FRANCKYIV, toujours le mot pour rire
Le #1876488
"Il n'est plus vraiment rare de trouver une machine fonctionnant avec un système Linux - en particulier des serveurs"

Une manière comme une autre de dire que les chiffres de part de marché sont mensongers depuis 10 ans...

Quand au cheval de Troie, sans le vecteur d'infection, ça reste une info de type pétard mouillé.
Le #1876490
Je crains que ce ne soit plus grave qu'un simple problème de jeunesse.
Le #1876491
FRANCKYIV a écrit :

mouarf76 a écrit :

Il existe d'innombrables malwares codés pour infecter des systèmes Linux.
Même moi je peux en fabriquer à la pelle, c'est un jeu d'enfant, mais de là à ce qu'ils arrivent à pénétrer une machine, c'est autre chose.

Est-ce que l'article dit que ce malware a infecté des machines et si oui combien ? Il me semble que non.

Par contre ça fait 10 ans que les éditeurs d'anti virus colportent ce genre d'information (on se demande bien pourquoi hein !), mais je n'ai jamais vu une seule machine utilisée normalement (c'est à dire installation à partir des dépôts, réglages standard de IPtables, mises à jour faites) qui ait été infectée.

Un lien direct vers une page web où on clique un bouton et où on se retrouve infecté ?
Bon courage, moi j'ai jamais vu.


Comme sous Windows quoi, à partir du moment où tu fais tes mises à jour (Windows update, logiciels, anti-virus/anti malware), il ne peut rien t'arriver ...


Non, à partir du moment où tu ne fais pas n'importe quoi, tout simplement. L'antivirus et Windows Update sont un nid à em***des plutôt qu'autre chose, quand on sait ce qu'on fait.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]