Cheval de Troie sous LINUX, info ou Intox?

Le
Alex PADOLY
--=_d34beef0c763173bb044c45bb7b3dd4a
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset=UTF-8



Bonjour à tous,

Je ne sais pas si c'est de l'intox.je trouve
inquiétant qu'un virus puis évoluer dans un environnement Linux :


http://www.developpez.com/actu/95041/Dr-Web-detecte-sur-Linux-un-nouveau-cheval-de-Troie-qui-espionne-les-utilisateurs-en-effectuant-regulierement-des-captures-d-ecran-du-systeme/
[1]

http://vms.drweb.fr/virus/?iy24647 [2]

Qu'en pensez-vous ?


Merci


Links:

[1]
http://www.developpez.com/actu/95041/Dr-Web-detecte-sur-Linux-un-nouveau-cheval-de-Troie-qui-espionne-les-utilisateurs-en-effectuant-regulierement-des-captures-d-ecran-du-systeme/
[2]
http://vms.drweb.fr/virus/?iy24647

--=_d34beef0c763173bb044c45bb7b3dd4a
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset=UTF-8

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
<html><body>
<p style="margin-bottom: 0cm;">Bonjour &agrave; tous,</p>
<p style="margin-bottom: 0cm;">&nbsp;</p>
<p style="margin-bottom: 0cm;">Je ne sais pas si c'est de l'intox.je t=
rouve inqui&eacute;tant qu'un virus puis &eacute;voluer dans un environneme=
nt Linux&nbsp;:</p>
<p style="margin-bottom: 0cm;">&nbsp;</p>
<p style="margin-bottom: 0cm;"><a href="http://www.developpez.com/actu/=
95041/Dr-Web-detecte-sur-Linux-un-nouveau-cheval-de-Troie-qui-espionne-les-=
utilisateurs-en-effectuant-regulierement-des-captures-d-ecran-du-systeme/">=
http://www.developpez.com/actu/95041/Dr-Web-detecte-sur-Linux-un-nouveau-ch=
eval-de-Troie-qui-espionne-les-utilisateurs-en-effectuant-regulierement-des=
-captures-d-ecran-du-systeme/</a></p>
<p style="margin-bottom: 0cm;">&nbsp;</p>
<p style="margin-bottom: 0cm;">&nbsp;</p>
<p style="margin-bottom: 0cm;"><a href="http://vms.drweb.fr/virus/?i==
7924647">http://vms.drweb.fr/virus/?i=7924647</a></p>
<p style="margin-bottom: 0cm;">&nbsp;</p>
<p style="margin-bottom: 0cm;">Qu'en pensez-vous&nbsp;?</p>
<p style="margin-bottom: 0cm;">Merci</p>
<div>&nbsp;</div>
</body></html>

--=_d34beef0c763173bb044c45bb7b3dd4a--
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
BERTRAND Joël
Le #26386615
Pierre TOUZEAU a écrit :
Bonjour,
En regardant les liens proposés, je m'interroge sur la viabilité des
descriptions "techniques" présentées...

Le Trojan lance les services suivants : EkomsAutorun:
Il sauvegarde les données suivantes dans le fichier $HOME/.config/autostart/%exename%.desktop :
[Desktop Entry]
Type=Application
Name=%exename%
Exec=%pathtoexe%
Terminalúlse

C'est de la syntaxe DOS pas SHELL UNIX ???
Je dirais canulard pour l'ensemble, avis perso...



Bonjour,

Même remarque. D'autant plus que les sites en question parlent d'une
adresse IP codée en dur. Pourquoi ne pas la donner ? Ça permettrait de
bloquer tout trafic sortant à destination de cette IP. Pourquoi ne pas
indiquer le port ?

J'aime aussi la technique de suppression d'un cheval de Troie infectant
Linux à partir de machines Windows.

JKB
Grégory Reinbold
Le #26386616
+1

Grégory Reinbold
UNIX - Where there is a shell, there is a way.

Le 28/01/2016 10:50, Julien H a écrit :
On 01/28/2016 10:05 AM, Alex PADOLY wrote:
Je ne sais pas si c'est de l'intox....je trouve inquiétant qu'un virus
puis évoluer dans un environnement Linux :
Qu'en pensez-vous ?



Des virus existent pour tous les OS, c'est pas pour autant qu'on les
attrape !

Il n'est pas difficile de développer un programme qui prend une
capture d'écran toutes les 30 secondes. C'est ce que fait le "virus"
dont tu parles.

Nulle part il n'est fait mention de la façon dont ce programme se
diffuse, on peut donc en déduire qu'il ne se diffuse pas de lui-même
(pour se faire, il faudrait exploiter une faille de sécurité et
réussir à s'installer sans intervention de l'utilisateur).

Reste les façons plus classiques de diffusion de malware (e-mail,
liens véreux etc.), et là c'est à l'utilisateur de ne pas cliquer
partout sans réfléchir.

Bref, je ne me sens pas inquiété par cette nouvelle, et ne suis pas
prêt à investir dans un antivirus pour Linux ;)

Julien

Julien H
Le #26386614
On 01/28/2016 10:05 AM, Alex PADOLY wrote:
Je ne sais pas si c'est de l'intox....je trouve inquiétant qu'un v irus
puis évoluer dans un environnement Linux :
Qu'en pensez-vous ?



Des virus existent pour tous les OS, c'est pas pour autant qu'on les
attrape !

Il n'est pas difficile de développer un programme qui prend une capt ure
d'écran toutes les 30 secondes. C'est ce que fait le "virus" dont tu parles.

Nulle part il n'est fait mention de la façon dont ce programme se
diffuse, on peut donc en déduire qu'il ne se diffuse pas de lui-mà ªme
(pour se faire, il faudrait exploiter une faille de sécurité et réussir
à s'installer sans intervention de l'utilisateur).

Reste les façons plus classiques de diffusion de malware (e-mail, li ens
véreux etc.), et là c'est à l'utilisateur de ne pas clique r partout sans
réfléchir.

Bref, je ne me sens pas inquiété par cette nouvelle, et ne suis pas prêt
à investir dans un antivirus pour Linux ;)

Julien
andre_debian
Le #26386613
On Thursday 28 January 2016 10:05:22 Alex PADOLY wrote:
Je ne sais pas si c'est de l'intox....je trouve
inquiétant qu'un virus puis évoluer dans un environnement Linux :



http://www.developpez.com/actu/95041/Dr-Web-detecte-sur-Linux-un-nouveau-ch eval-de-Troie-qui-espionne-les-utilisateurs-en-effectuant-regulierement-des -captures-d-ecran-du-systeme/
[1]
http://vms.drweb.fr/virus/?iy24647 [2]
Qu'en pensez-vous ?



La réponse semble vite trouvée :
Dr Web :
Éditeur russe de solutions de sécurité informatique.
Solutions antivirus et antispam pour entreprises, institutions et organisme s
publics et particuliers :
https://www.drweb.fr/

"L'info" vient d'un éditeur d'antivirus et de sécurité et la répons e est :
"achetez mes produits" , "achetez mes produits" !

La crédibilité de cette info est sans grande valeur,
les Linuxiens peuvent dormir sur leurs deux oreilles.

André
Grégory Reinbold
Le #26386619
Un jour viendra où ce genre d'éditeur développera le mal et le remède
(un peu comme Mc'Do et les industries pharma qui produisent l'insuline).

Diffusion à grande échelle d'un troyen puis vente du patch correctif.

Business is business...

Grégory Reinbold
UNIX - Where there is a shell, there is a way.

Le 28/01/2016 11:28, a écrit :
On Thursday 28 January 2016 10:05:22 Alex PADOLY wrote:
Je ne sais pas si c'est de l'intox....je trouve
inquiétant qu'un virus puis évoluer dans un environnement Linux :



http://www.developpez.com/actu/95041/Dr-Web-detecte-sur-Linux-un-nouveau-cheval-de-Troie-qui-espionne-les-utilisateurs-en-effectuant-regulierement-des-captures-d-ecran-du-systeme/
[1]
http://vms.drweb.fr/virus/?iy24647 [2]
Qu'en pensez-vous ?


La réponse semble vite trouvée :
Dr Web :
Éditeur russe de solutions de sécurité informatique.
Solutions antivirus et antispam pour entreprises, institutions et organismes
publics et particuliers :
https://www.drweb.fr/

"L'info" vient d'un éditeur d'antivirus et de sécurité et la réponse est :
"achetez mes produits" , "achetez mes produits" !

La crédibilité de cette info est sans grande valeur,
les Linuxiens peuvent dormir sur leurs deux oreilles.

André

Vincent Besse
Le #26386622
On Thu, 28 Jan 2016 10:45:11 +0100
Pierre TOUZEAU
Bonjour,
En regardant les liens proposés, je m'interroge sur la viabilità © des
descriptions "techniques" présentées...

Le Trojan lance les services suivants : EkomsAutorun:
Il sauvegarde les données suivantes dans le fichier $HOME/.config/au tostart/%exename%.desktop :
[Desktop Entry]
Type=Application
Name=%exename%
Exec=%pathtoexe%
Terminalúlse

C'est de la syntaxe DOS pas SHELL UNIX ???
Je dirais canulard pour l'ensemble, avis perso...

Pierre



C' est pas de la syntaxe DOS. On la retrouve tout particulièrement
c' est vrai dans les fichiers *.ini sous Windows, mais beaucoup de softs
Linux/UNIX ont des fichiers de config qui utilisent ce formalisme. Et
notament les fichiers .desktop. Il ne s' agit pas d' un fichier de
script, qui lui effectivement n' est interprétable que par...l'
interpréteur de commandes kivabien (DOS, bash, zsh, python, etc...)
mais d' un simple fichier de config. L' exécutable à lancer est
renseigné par la ligne "Exec="

Comme dit dans d' autres commentaires c' est plus un attrape-neuneu
commercial qu' autre chose. Par contre c' est certainement réel.

Vincent
--
La musique adoucit-elle les moeurs? Testez-vous sur:
http://soundcloud.com/ouhena
http://www.reverbnation.com/koslow
Etilem
Le #26386623
bonjour,

Le jeu. 28 janv. 2016 11:28:47 CET, a écri t:

les Linuxiens peuvent dormir sur leurs deux oreilles.



attends, je vais te réveiller moi, lol

imaginons : je suis un spammeur patenté à la recherche de vols de
serveurs pour étendre mon activité, mon objectif est de collecter
frauduleusement un maximum de clés privées SSH d'administrateurs de
serveurs pour m'approprier leurs ressources, alléchant n'est-ce pas ?
mais techniquement est-ce possible ?

imaginons que je détienne une faille 0day ou même connue et corri gée de
tel navigateur et que cette faille me permette d'écrire dans le syst ème
de fichiers de ma victime pour y placer un cheval de Troie, j'ai donc
en ma possession un User-agent faible (les versions précédentes p our
une faille corrigée) qu'il convient d'exploiter,

imaginons que j'inonde de spams la planète entière avec un lien v ers un
site web qui dynamiquement ciblerait cet User-agent faible, s'il est
détecté, envoie le cheval de Troie sur la machine cible... alors, bien
sûr, je risque de me prendre pas mal de proxies http dans les dents,
mais sur le lot, il me reste une chance d'y arriver,

imaginons que grâce aux captures d'écran générées toutes les 30
secondes et transmises à l'une de mes IP, je remarque une victime
utilisatrice de SSH, il me reste, grâce à mon C&C, qu'à tà ©lécharger sa
clé privée, ou à défaut, qu'à placer un keylogger pour obtenir le mot
de passe.

CQFD ?

p.s.: pour la détection d'un cheval de Troie, les lignes grisées de
wireshark sont tes amies :)

--
Etilem
contact
Le #26386626
bonjour,

Tout à fait d'accord avec toi de toutes façon il y a toujours une
solution pour faire du hack, moi j'ai toujours pensé que si on était à
l'abri c'était parce que le nombre d'utilisateurs linux était faible
maintenant qu'il y a une progression du nombre d'utilisateur linux
client/serveurs les hackeurs risque de nous trouver plus intéressent
d'autre part les sociétés d’antivirus et autres société commerciale qui
du coup perde de l'argent à chaque fois que quelqu'un passe sous linux
risque de devenir créative donc du coup il vas falloir surveiller un
peut certes sous linux la sécurité est meilleur enfin du moins c'est ce
que j'ai toujours pensé mais elle est du surtout au fait que personne
n'est en root non stop du coup si sous window$ les gens n'utilisait pas
la session admin permanent il y aurais moins de problème après le reste
c'est de la connaissance ne pas cliquer sur tout ce qui se présente par
email ou en pop-up peut limiter ces problèmes de sécurités de toutes
façon on y auras le droit c'est comme sa aucun système de sécurité n'est
inviolable ....

cordialement

Le 28/01/2016 12:54, Etilem a écrit :
bonjour,

Le jeu. 28 janv. 2016 11:28:47 CET, a écrit:

les Linuxiens peuvent dormir sur leurs deux oreilles.


attends, je vais te réveiller moi, lol

imaginons : je suis un spammeur patenté à la recherche de vols de
serveurs pour étendre mon activité, mon objectif est de collecter
frauduleusement un maximum de clés privées SSH d'administrateurs de
serveurs pour m'approprier leurs ressources, alléchant n'est-ce pas ?
mais techniquement est-ce possible ?

imaginons que je détienne une faille 0day ou même connue et corrigée de
tel navigateur et que cette faille me permette d'écrire dans le système
de fichiers de ma victime pour y placer un cheval de Troie, j'ai donc
en ma possession un User-agent faible (les versions précédentes pour
une faille corrigée) qu'il convient d'exploiter,

imaginons que j'inonde de spams la planète entière avec un lien vers un
site web qui dynamiquement ciblerait cet User-agent faible, s'il est
détecté, envoie le cheval de Troie sur la machine cible... alors, bien
sûr, je risque de me prendre pas mal de proxies http dans les dents,
mais sur le lot, il me reste une chance d'y arriver,

imaginons que grâce aux captures d'écran générées toutes les 30
secondes et transmises à l'une de mes IP, je remarque une victime
utilisatrice de SSH, il me reste, grâce à mon C&C, qu'à télécharger sa
clé privée, ou à défaut, qu'à placer un keylogger pour obtenir le mot
de passe.

CQFD ?

p.s.: pour la détection d'un cheval de Troie, les lignes grisées de
wireshark sont tes amies :)

--
Etilem

S
Le #26386633
Bonjour,

Le jeudi 28 janvier 2016 à 10:42, Bernard Schoenacker a écrit :
voici la méthode d'éradication :

http://www.pc-cybersecurity.com/fr/comment-supprimer-linux-ekoms-1/



C'est fou l'opportunisme dont font preuve certains… À peine une rumeur commence
à circuler et avant même d'avoir un quelconque semblant d'information technique
que déjà des pages apparaissent avec un joli bouton « Télécharge moi ! ».

Désinfecter un Linux en désinstallant des modules complémentaires de
IE/Firefox/Chrome sous Windows ?!? La personne qui a écrit ça n'a décidément pas
beaucoup d'amour propre.

Le simple fait de parler de désinfecter un Linux depuis Windows m'amuse pas mal,
je ne suis pas sûr que Ext[2|3|4] soient encore gérés par Windows, quant aux
autres systèmes de fichiers…

Bref, opportunisme…

Sébastien
Publicité
Poster une réponse
Anonyme