Un malware Linux sous les radars pendant cinq ans

Le par  |  21 commentaire(s) Source : ESET - Unboxing Linux/Mumblehard (PDF)
malware

Le malware Mumblehard a ciblé des milliers d'ordinateurs exécutant des systèmes d'exploitation à base Linux et FreeBSD. Principalement des serveurs Web pour cette menace active depuis au moins 2009.

D'après un rapport publié par ESET, des milliers d'ordinateurs exécutant des systèmes d'exploitation à base Linux et FreeBSD ont été infectés au cours de ces cinq dernières années par un malware baptisé Mumblehard et affichant une prédilection pour les serveurs Web.

Mumblehard se compose d'une backdoor (porte dérobée) et d'un démon de spam. La backdoor assure une communication avec des serveurs de commande et contrôle, tandis que le démon œuvre pour envoyer de grosses quantités de spam.

L'infection par Mumblehard aurait probablement lieu via l'exploitation de vulnérabilités dans les CMS Joomla et Wordpress. Les chercheurs ont en outre établi des liens avec Yellsoft qui vend un logiciel DirectMailer pour envoyer des emails en masse.

ESET-Mumblehard-vue-ensemble
Les chercheurs d'ESET ont pu surveiller l'élément backdoor de Mumblehard en enregistrant un nom de domaine utilisé par l'un des serveurs de commande et contrôle. Pendant sept mois, plus de 8 500 adresses IP uniques ont été identifiées. Au cours de la première semaine du mois d'avril, plus de 3 000 machines étaient infectées mais il existe des pics d'infection.

Pour ESET, l'utilisation du langage assembleur pour produire des fichiers binaires exécutables ELF afin de masquer le code source en Perl des deux composants de Mumblehard montre un " niveau de sophistication plus élevé que la moyenne ". Mais en la matière, ESET avait été davantage impressionné par Windigo.

Ce qui est par contre inquiétant est que les cybercriminels derrière Mumblehard ont pu agir pendant plus de cinq ans sans interruption. La trouvaille de ESET a eu lieu suite à la demande d'aide d'un administrateur système en raison d'un serveur qui avait été blacklisté pour l'envoi de spam.

Aux victimes potentielles, ESET recommande de jeter un œil sur les entrées cronjob non sollicitées sur leurs serveurs. " C'est le mécanisme utilisé par la backdoor de Mumblerhard pour une activation toutes les 15 minutes. Elle est généralement installée dans /tmp ou /var/tmp. Monter le répertoire tmp avec l'option noexec empêche la backdoor de démarrer. "

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1841733
Il sont ou les supporter nunux là ? L'évolution du discours est interressante :

Avant hier : nunux est indestructible, zero virus, zero malware

Hier : oui et bha quant un virus ou un malware arrive il est vite contré par la puissance et la réactivité de la communauté. En 24h ya plus rien !

Aujourd'hui : ??? :-D
Le #1841734
Mais non pas de malware sur le pinguoin ! ca se saurait !
Le #1841735
KAISER59 a écrit :

Il sont ou les supporter nunux là ? L'évolution du discours est interressante :

Avant hier : nunux est indestructible, zero virus, zero malware

Hier : oui et bha quant un virus ou un malware arrive il est vite contré par la puissance et la réactivité de la communauté. En 24h ya plus rien !

Aujourd'hui : ??? :-D


Bah tu sais, il existe des antivirus et des anti-malware sous Gnu Linux ...

Mais s'il faut comparer à Windows, leur utilisation reste relativement marginal.
Le #1841747
KAISER59 a écrit :

Il sont ou les supporter nunux là ? L'évolution du discours est interressante :

Avant hier : nunux est indestructible, zero virus, zero malware

Hier : oui et bha quant un virus ou un malware arrive il est vite contré par la puissance et la réactivité de la communauté. En 24h ya plus rien !

Aujourd'hui : ??? :-D


Personne n'a jamais nié que GNU/Linux comme tout autre OS peut être affecté par des failles, des malwares ou des virus. Par contre, quand les problèmes sont découverts, on ne se voile pas la face en attendant les prochaines patch tuesday... On règle les choses une fois pour toute !
Donc continuez de baver votre suffisance si ça vous amuse : nos GNU/Linux continuent gentiment de se passer d'antivirus, d'être plus simples y compris pour des débutants, d'être plus sécurisés (et oui...), plus modulables et 2x plus réacitf que le premier concurrent.
Et bonne journée encore !

Le #1841750
KAISER59 a écrit :

Il sont ou les supporter nunux là ? L'évolution du discours est interressante :

Avant hier : nunux est indestructible, zero virus, zero malware

Hier : oui et bha quant un virus ou un malware arrive il est vite contré par la puissance et la réactivité de la communauté. En 24h ya plus rien !

Aujourd'hui : ??? :-D


Pathétique.
Il n'y a aucune faille dans le cœur du système donc il est bel et bien indestructible sur le moment.
Si faille il y a c'est lié soit à Apache soit PHP ou les deux. Rappel utile, ils sont également présent pour Windows.

Que je sache de la part de la news, il n'y a eu aucune élévation de pouvoir ni destruction ou exploitation des données mais la création d'une tâche CRON dans un emplacement où n'importe qui peut écrire dont les utilisateurs liés à la bonne exécution d'un environnement Web pour transformer en machine à SPAM.

Maintenant, il n'y a que les débiles profonds qui diront qu'il n'y a aucun malware ou qu'il est indestructible. Par contre, oui, il n'y a aucun virus et dans la détection d'un problème/faille majeur/e, le libre répond bien plus vite que les solutions propriétaires qui ne se bougent le cul qu'au moment où une faille est rendue publique (d'où la colère de MS contre Google).
Le #1841752
@kaiser

j'utilise des système linux depuis 2009 ,je n'ai jamais connu de kernel panique ni vérole d'aucune sorte

d'un autre côté de la famille on me demande de préparer un pc en dual boot (ces braves petits veulent jouer)

je viens de leur en faire un tout beau tout neuf, et sur 5 jours j'ai été appelé 3 fois...... de plus d'eux-mêmes ils reconnaissent que linux est mieux ,mais l'éternel histoire des jeux.......... de skipe et autre merde qu'ils laissent connecté all the time..... fait que les gens qui touche pour faire du sav (comme toi ?) son content de windows car sans lui plus gagne pain .
ça me fait penser aux gens qui râlent ou ont râlé sur la téléphonie de free,mais qui sont content quand,grâce à free, leur Fai doit baisser leur forfait phone .....

l
Le #1841756

j'utilise des système linux depuis 2009 ,je n'ai
jamais connu de kernel panique ni vérole d'aucune sorte



T'as de la chance ... il suffit que je surfe sur Youtube en Adobe Flash quelques minutes pour avoir un kernel panic perso ...
Le #1841757
Oula on dirait que kaiser à touché là ou ça fait mal, chez certains
Le #1841761
FRANCKYIV

..//T'as de la chance ... il suffit que je surfe sur Youtube en Adobe Flash quelques minutes pour avoir un kernel panic perso ..//..

Bah il me semble qu'Ulysse2k t'as déjà expliqué dans la tribune......


Le #1841768
mapool a écrit :

FRANCKYIV

..//T'as de la chance ... il suffit que je surfe sur Youtube en Adobe Flash quelques minutes pour avoir un kernel panic perso ..//..

Bah il me semble qu'Ulysse2k t'as déjà expliqué dans la tribune......


C'est à dire ?

Edit :

Ma mémoire vive et mon disque dur ont été testé, ils sont nickels.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]