Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Cheval de Troie sous LINUX, info ou Intox?

20 réponses
Avatar
Alex PADOLY
--=_d34beef0c763173bb044c45bb7b3dd4a
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset=UTF-8



Bonjour à tous,

Je ne sais pas si c'est de l'intox....je trouve
inquiétant qu'un virus puis évoluer dans un environnement Linux :


http://www.developpez.com/actu/95041/Dr-Web-detecte-sur-Linux-un-nouveau-cheval-de-Troie-qui-espionne-les-utilisateurs-en-effectuant-regulierement-des-captures-d-ecran-du-systeme/
[1]

http://vms.drweb.fr/virus/?i=7924647 [2]

Qu'en pensez-vous ?


Merci


Links:
------
[1]
http://www.developpez.com/actu/95041/Dr-Web-detecte-sur-Linux-un-nouveau-cheval-de-Troie-qui-espionne-les-utilisateurs-en-effectuant-regulierement-des-captures-d-ecran-du-systeme/
[2]
http://vms.drweb.fr/virus/?i=7924647

--=_d34beef0c763173bb044c45bb7b3dd4a
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset=UTF-8

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
<html><body>
<p style=3D"margin-bottom: 0cm;">Bonjour &agrave; tous,</p>
<p style=3D"margin-bottom: 0cm;">&nbsp;</p>
<p style=3D"margin-bottom: 0cm;">Je ne sais pas si c'est de l'intox....je t=
rouve inqui&eacute;tant qu'un virus puis &eacute;voluer dans un environneme=
nt Linux&nbsp;:</p>
<p style=3D"margin-bottom: 0cm;">&nbsp;</p>
<p style=3D"margin-bottom: 0cm;"><a href=3D"http://www.developpez.com/actu/=
95041/Dr-Web-detecte-sur-Linux-un-nouveau-cheval-de-Troie-qui-espionne-les-=
utilisateurs-en-effectuant-regulierement-des-captures-d-ecran-du-systeme/">=
http://www.developpez.com/actu/95041/Dr-Web-detecte-sur-Linux-un-nouveau-ch=
eval-de-Troie-qui-espionne-les-utilisateurs-en-effectuant-regulierement-des=
-captures-d-ecran-du-systeme/</a></p>
<p style=3D"margin-bottom: 0cm;">&nbsp;</p>
<p style=3D"margin-bottom: 0cm;">&nbsp;</p>
<p style=3D"margin-bottom: 0cm;"><a href=3D"http://vms.drweb.fr/virus/?i=3D=
7924647">http://vms.drweb.fr/virus/?i=3D7924647</a></p>
<p style=3D"margin-bottom: 0cm;">&nbsp;</p>
<p style=3D"margin-bottom: 0cm;">Qu'en pensez-vous&nbsp;?</p>
<p style=3D"margin-bottom: 0cm;">Merci</p>
<div>&nbsp;</div>
</body></html>

--=_d34beef0c763173bb044c45bb7b3dd4a--

10 réponses

1 2
Avatar
Bernard Schoenacker
Le Thu, 28 Jan 2016 09:05:22 +0000,
Alex PADOLY a écrit :



Bonjour à tous,

Je ne sais pas si c'est de l'intox....je trouve
inquiétant qu'un virus puis évoluer dans un environnement Linux :


http://www.developpez.com/actu/95041/Dr-Web-detecte-sur-Linux-un-nouveau-cheval-de-Troie-qui-espionne-les-utilisateurs-en-effectuant-regulierement-des-captures-d-ecran-du-systeme/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.developpez.com/actu/95041/Dr-Web-detecte-sur-Linux-un-nouveau-cheval-de-Troie-qui-espionne-les-utilisateurs-en-effectuant-regulierement-des-captures-d-ecran-du-systeme/
[1]

http://vms.drweb.fr/virus/?iy24647" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://vms.drweb.fr/virus/?iy24647 [2]

Qu'en pensez-vous ?


Merci


Links:
------
[1]
http://www.developpez.com/actu/95041/Dr-Web-detecte-sur-Linux-un-nouveau-cheval-de-Troie-qui-espionne-les-utilisateurs-en-effectuant-regulierement-des-captures-d-ecran-du-systeme/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.developpez.com/actu/95041/Dr-Web-detecte-sur-Linux-un-nouveau-cheval-de-Troie-qui-espionne-les-utilisateurs-en-effectuant-regulierement-des-captures-d-ecran-du-systeme/
[2]
http://vms.drweb.fr/virus/?iy24647" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://vms.drweb.fr/virus/?iy24647



bonjour,

voici la méthode d'éradication :

http://www.pc-cybersecurity.com/fr/comment-supprimer-linux-ekoms-1/

slt
bernard
Avatar
BERTRAND Joël
Pierre TOUZEAU a écrit :
Bonjour,
En regardant les liens proposés, je m'interroge sur la viabilité des
descriptions "techniques" présentées...

Le Trojan lance les services suivants : EkomsAutorun:
Il sauvegarde les données suivantes dans le fichier $HOME/.config/autostart/%exename%.desktop :
[Desktop Entry]
Type=Application
Name=%exename%
Exec=%pathtoexe%
Terminalúlse

C'est de la syntaxe DOS pas SHELL UNIX ???
Je dirais canulard pour l'ensemble, avis perso...



Bonjour,

Même remarque. D'autant plus que les sites en question parlent d'une
adresse IP codée en dur. Pourquoi ne pas la donner ? Ça permettrait de
bloquer tout trafic sortant à destination de cette IP. Pourquoi ne pas
indiquer le port ?

J'aime aussi la technique de suppression d'un cheval de Troie infectant
Linux à partir de machines Windows.

JKB
Avatar
Grégory Reinbold
+1

Grégory Reinbold
UNIX - Where there is a shell, there is a way.

Le 28/01/2016 10:50, Julien H a écrit :
On 01/28/2016 10:05 AM, Alex PADOLY wrote:
Je ne sais pas si c'est de l'intox....je trouve inquiétant qu'un virus
puis évoluer dans un environnement Linux :
Qu'en pensez-vous ?



Des virus existent pour tous les OS, c'est pas pour autant qu'on les
attrape !

Il n'est pas difficile de développer un programme qui prend une
capture d'écran toutes les 30 secondes. C'est ce que fait le "virus"
dont tu parles.

Nulle part il n'est fait mention de la façon dont ce programme se
diffuse, on peut donc en déduire qu'il ne se diffuse pas de lui-même
(pour se faire, il faudrait exploiter une faille de sécurité et
réussir à s'installer sans intervention de l'utilisateur).

Reste les façons plus classiques de diffusion de malware (e-mail,
liens véreux etc.), et là c'est à l'utilisateur de ne pas cliquer
partout sans réfléchir.

Bref, je ne me sens pas inquiété par cette nouvelle, et ne suis pas
prêt à investir dans un antivirus pour Linux ;)

Julien

Avatar
Julien H
On 01/28/2016 10:05 AM, Alex PADOLY wrote:
Je ne sais pas si c'est de l'intox....je trouve inquiétant qu'un v irus
puis évoluer dans un environnement Linux :
Qu'en pensez-vous ?



Des virus existent pour tous les OS, c'est pas pour autant qu'on les
attrape !

Il n'est pas difficile de développer un programme qui prend une capt ure
d'écran toutes les 30 secondes. C'est ce que fait le "virus" dont tu parles.

Nulle part il n'est fait mention de la façon dont ce programme se
diffuse, on peut donc en déduire qu'il ne se diffuse pas de lui-mà ªme
(pour se faire, il faudrait exploiter une faille de sécurité et réussir
à s'installer sans intervention de l'utilisateur).

Reste les façons plus classiques de diffusion de malware (e-mail, li ens
véreux etc.), et là c'est à l'utilisateur de ne pas clique r partout sans
réfléchir.

Bref, je ne me sens pas inquiété par cette nouvelle, et ne suis pas prêt
à investir dans un antivirus pour Linux ;)

Julien
Avatar
andre_debian
On Thursday 28 January 2016 10:05:22 Alex PADOLY wrote:
Je ne sais pas si c'est de l'intox....je trouve
inquiétant qu'un virus puis évoluer dans un environnement Linux :



http://www.developpez.com/actu/95041/Dr-Web-detecte-sur-Linux-un-nouveau-ch eval-de-Troie-qui-espionne-les-utilisateurs-en-effectuant-regulierement-des -captures-d-ecran-du-systeme/
[1]
http://vms.drweb.fr/virus/?iy24647 [2]
Qu'en pensez-vous ?



La réponse semble vite trouvée :
Dr Web :
Éditeur russe de solutions de sécurité informatique.
Solutions antivirus et antispam pour entreprises, institutions et organisme s
publics et particuliers :
https://www.drweb.fr/

"L'info" vient d'un éditeur d'antivirus et de sécurité et la répons e est :
"achetez mes produits" , "achetez mes produits" !

La crédibilité de cette info est sans grande valeur,
les Linuxiens peuvent dormir sur leurs deux oreilles.

André
Avatar
Grégory Reinbold
Un jour viendra où ce genre d'éditeur développera le mal et le remède
(un peu comme Mc'Do et les industries pharma qui produisent l'insuline).

Diffusion à grande échelle d'un troyen puis vente du patch correctif.

Business is business...

Grégory Reinbold
UNIX - Where there is a shell, there is a way.

Le 28/01/2016 11:28, a écrit :
On Thursday 28 January 2016 10:05:22 Alex PADOLY wrote:
Je ne sais pas si c'est de l'intox....je trouve
inquiétant qu'un virus puis évoluer dans un environnement Linux :



http://www.developpez.com/actu/95041/Dr-Web-detecte-sur-Linux-un-nouveau-cheval-de-Troie-qui-espionne-les-utilisateurs-en-effectuant-regulierement-des-captures-d-ecran-du-systeme/
[1]
http://vms.drweb.fr/virus/?iy24647 [2]
Qu'en pensez-vous ?


La réponse semble vite trouvée :
Dr Web :
Éditeur russe de solutions de sécurité informatique.
Solutions antivirus et antispam pour entreprises, institutions et organismes
publics et particuliers :
https://www.drweb.fr/

"L'info" vient d'un éditeur d'antivirus et de sécurité et la réponse est :
"achetez mes produits" , "achetez mes produits" !

La crédibilité de cette info est sans grande valeur,
les Linuxiens peuvent dormir sur leurs deux oreilles.

André

Avatar
Vincent Besse
On Thu, 28 Jan 2016 10:45:11 +0100
Pierre TOUZEAU wrote:

Bonjour,
En regardant les liens proposés, je m'interroge sur la viabilità © des
descriptions "techniques" présentées...

Le Trojan lance les services suivants : EkomsAutorun:
Il sauvegarde les données suivantes dans le fichier $HOME/.config/au tostart/%exename%.desktop :
[Desktop Entry]
Type=Application
Name=%exename%
Exec=%pathtoexe%
Terminallse

C'est de la syntaxe DOS pas SHELL UNIX ???
Je dirais canulard pour l'ensemble, avis perso...

Pierre



C' est pas de la syntaxe DOS. On la retrouve tout particulièrement
c' est vrai dans les fichiers *.ini sous Windows, mais beaucoup de softs
Linux/UNIX ont des fichiers de config qui utilisent ce formalisme. Et
notament les fichiers .desktop. Il ne s' agit pas d' un fichier de
script, qui lui effectivement n' est interprétable que par...l'
interpréteur de commandes kivabien (DOS, bash, zsh, python, etc...)
mais d' un simple fichier de config. L' exécutable à lancer est
renseigné par la ligne "Exec="

Comme dit dans d' autres commentaires c' est plus un attrape-neuneu
commercial qu' autre chose. Par contre c' est certainement réel.

Vincent
--
La musique adoucit-elle les moeurs? Testez-vous sur:
http://soundcloud.com/ouhena
http://www.reverbnation.com/koslow
Avatar
Etilem
bonjour,

Le jeu. 28 janv. 2016 11:28:47 CET, a écri t:

les Linuxiens peuvent dormir sur leurs deux oreilles.



attends, je vais te réveiller moi, lol

imaginons : je suis un spammeur patenté à la recherche de vols de
serveurs pour étendre mon activité, mon objectif est de collecter
frauduleusement un maximum de clés privées SSH d'administrateurs de
serveurs pour m'approprier leurs ressources, alléchant n'est-ce pas ?
mais techniquement est-ce possible ?

imaginons que je détienne une faille 0day ou même connue et corri gée de
tel navigateur et que cette faille me permette d'écrire dans le syst ème
de fichiers de ma victime pour y placer un cheval de Troie, j'ai donc
en ma possession un User-agent faible (les versions précédentes p our
une faille corrigée) qu'il convient d'exploiter,

imaginons que j'inonde de spams la planète entière avec un lien v ers un
site web qui dynamiquement ciblerait cet User-agent faible, s'il est
détecté, envoie le cheval de Troie sur la machine cible... alors, bien
sûr, je risque de me prendre pas mal de proxies http dans les dents,
mais sur le lot, il me reste une chance d'y arriver,

imaginons que grâce aux captures d'écran générées toutes les 30
secondes et transmises à l'une de mes IP, je remarque une victime
utilisatrice de SSH, il me reste, grâce à mon C&C, qu'à tà ©lécharger sa
clé privée, ou à défaut, qu'à placer un keylogger pour obtenir le mot
de passe.

CQFD ?

p.s.: pour la détection d'un cheval de Troie, les lignes grisées de
wireshark sont tes amies :)

--
Etilem
Avatar
contact
bonjour,

Tout à fait d'accord avec toi de toutes façon il y a toujours une
solution pour faire du hack, moi j'ai toujours pensé que si on était à
l'abri c'était parce que le nombre d'utilisateurs linux était faible
maintenant qu'il y a une progression du nombre d'utilisateur linux
client/serveurs les hackeurs risque de nous trouver plus intéressent
d'autre part les sociétés d’antivirus et autres société commerciale qui
du coup perde de l'argent à chaque fois que quelqu'un passe sous linux
risque de devenir créative donc du coup il vas falloir surveiller un
peut certes sous linux la sécurité est meilleur enfin du moins c'est ce
que j'ai toujours pensé mais elle est du surtout au fait que personne
n'est en root non stop du coup si sous window$ les gens n'utilisait pas
la session admin permanent il y aurais moins de problème après le reste
c'est de la connaissance ne pas cliquer sur tout ce qui se présente par
email ou en pop-up peut limiter ces problèmes de sécurités de toutes
façon on y auras le droit c'est comme sa aucun système de sécurité n'est
inviolable ....

cordialement

Le 28/01/2016 12:54, Etilem a écrit :
bonjour,

Le jeu. 28 janv. 2016 11:28:47 CET, a écrit:

les Linuxiens peuvent dormir sur leurs deux oreilles.


attends, je vais te réveiller moi, lol

imaginons : je suis un spammeur patenté à la recherche de vols de
serveurs pour étendre mon activité, mon objectif est de collecter
frauduleusement un maximum de clés privées SSH d'administrateurs de
serveurs pour m'approprier leurs ressources, alléchant n'est-ce pas ?
mais techniquement est-ce possible ?

imaginons que je détienne une faille 0day ou même connue et corrigée de
tel navigateur et que cette faille me permette d'écrire dans le système
de fichiers de ma victime pour y placer un cheval de Troie, j'ai donc
en ma possession un User-agent faible (les versions précédentes pour
une faille corrigée) qu'il convient d'exploiter,

imaginons que j'inonde de spams la planète entière avec un lien vers un
site web qui dynamiquement ciblerait cet User-agent faible, s'il est
détecté, envoie le cheval de Troie sur la machine cible... alors, bien
sûr, je risque de me prendre pas mal de proxies http dans les dents,
mais sur le lot, il me reste une chance d'y arriver,

imaginons que grâce aux captures d'écran générées toutes les 30
secondes et transmises à l'une de mes IP, je remarque une victime
utilisatrice de SSH, il me reste, grâce à mon C&C, qu'à télécharger sa
clé privée, ou à défaut, qu'à placer un keylogger pour obtenir le mot
de passe.

CQFD ?

p.s.: pour la détection d'un cheval de Troie, les lignes grisées de
wireshark sont tes amies :)

--
Etilem

Avatar
S
Bonjour,

Le jeudi 28 janvier 2016 à 10:42, Bernard Schoenacker a écrit :
voici la méthode d'éradication :

http://www.pc-cybersecurity.com/fr/comment-supprimer-linux-ekoms-1/



C'est fou l'opportunisme dont font preuve certains… À peine une rumeur commence
à circuler et avant même d'avoir un quelconque semblant d'information technique
que déjà des pages apparaissent avec un joli bouton « Télécharge moi ! ».

Désinfecter un Linux en désinstallant des modules complémentaires de
IE/Firefox/Chrome sous Windows ?!? La personne qui a écrit ça n'a décidément pas
beaucoup d'amour propre.

Le simple fait de parler de désinfecter un Linux depuis Windows m'amuse pas mal,
je ne suis pas sûr que Ext[2|3|4] soient encore gérés par Windows, quant aux
autres systèmes de fichiers…

Bref, opportunisme…

Sébastien
1 2