Bonjour, En regardant les liens proposés, je m'interroge sur la viabilité des descriptions "techniques" présentées...
Le Trojan lance les services suivants : EkomsAutorun: Il sauvegarde les données suivantes dans le fichier $HOME/.config/autostart/%exename%.desktop : [Desktop Entry] Type=Application Name=%exename% Exec=%pathtoexe% Terminalúlse
C'est de la syntaxe DOS pas SHELL UNIX ??? Je dirais canulard pour l'ensemble, avis perso...
Bonjour,
Même remarque. D'autant plus que les sites en question parlent d'une adresse IP codée en dur. Pourquoi ne pas la donner ? Ça permettrait de bloquer tout trafic sortant à destination de cette IP. Pourquoi ne pas indiquer le port ?
J'aime aussi la technique de suppression d'un cheval de Troie infectant Linux à partir de machines Windows.
JKB
Pierre TOUZEAU a écrit :
Bonjour,
En regardant les liens proposés, je m'interroge sur la viabilité des
descriptions "techniques" présentées...
Le Trojan lance les services suivants : EkomsAutorun:
Il sauvegarde les données suivantes dans le fichier $HOME/.config/autostart/%exename%.desktop :
[Desktop Entry]
Type=Application
Name=%exename%
Exec=%pathtoexe%
Terminalúlse
C'est de la syntaxe DOS pas SHELL UNIX ???
Je dirais canulard pour l'ensemble, avis perso...
Bonjour,
Même remarque. D'autant plus que les sites en question parlent d'une
adresse IP codée en dur. Pourquoi ne pas la donner ? Ça permettrait de
bloquer tout trafic sortant à destination de cette IP. Pourquoi ne pas
indiquer le port ?
J'aime aussi la technique de suppression d'un cheval de Troie infectant
Linux à partir de machines Windows.
Bonjour, En regardant les liens proposés, je m'interroge sur la viabilité des descriptions "techniques" présentées...
Le Trojan lance les services suivants : EkomsAutorun: Il sauvegarde les données suivantes dans le fichier $HOME/.config/autostart/%exename%.desktop : [Desktop Entry] Type=Application Name=%exename% Exec=%pathtoexe% Terminalúlse
C'est de la syntaxe DOS pas SHELL UNIX ??? Je dirais canulard pour l'ensemble, avis perso...
Bonjour,
Même remarque. D'autant plus que les sites en question parlent d'une adresse IP codée en dur. Pourquoi ne pas la donner ? Ça permettrait de bloquer tout trafic sortant à destination de cette IP. Pourquoi ne pas indiquer le port ?
J'aime aussi la technique de suppression d'un cheval de Troie infectant Linux à partir de machines Windows.
JKB
Grégory Reinbold
+1
Grégory Reinbold UNIX - Where there is a shell, there is a way.
Le 28/01/2016 10:50, Julien H a écrit :
On 01/28/2016 10:05 AM, Alex PADOLY wrote:
Je ne sais pas si c'est de l'intox....je trouve inquiétant qu'un virus puis évoluer dans un environnement Linux : Qu'en pensez-vous ?
Des virus existent pour tous les OS, c'est pas pour autant qu'on les attrape !
Il n'est pas difficile de développer un programme qui prend une capture d'écran toutes les 30 secondes. C'est ce que fait le "virus" dont tu parles.
Nulle part il n'est fait mention de la façon dont ce programme se diffuse, on peut donc en déduire qu'il ne se diffuse pas de lui-même (pour se faire, il faudrait exploiter une faille de sécurité et réussir à s'installer sans intervention de l'utilisateur).
Reste les façons plus classiques de diffusion de malware (e-mail, liens véreux etc.), et là c'est à l'utilisateur de ne pas cliquer partout sans réfléchir.
Bref, je ne me sens pas inquiété par cette nouvelle, et ne suis pas prêt à investir dans un antivirus pour Linux ;)
Julien
+1
Grégory Reinbold
UNIX - Where there is a shell, there is a way.
Le 28/01/2016 10:50, Julien H a écrit :
On 01/28/2016 10:05 AM, Alex PADOLY wrote:
Je ne sais pas si c'est de l'intox....je trouve inquiétant qu'un virus
puis évoluer dans un environnement Linux :
Qu'en pensez-vous ?
Des virus existent pour tous les OS, c'est pas pour autant qu'on les
attrape !
Il n'est pas difficile de développer un programme qui prend une
capture d'écran toutes les 30 secondes. C'est ce que fait le "virus"
dont tu parles.
Nulle part il n'est fait mention de la façon dont ce programme se
diffuse, on peut donc en déduire qu'il ne se diffuse pas de lui-même
(pour se faire, il faudrait exploiter une faille de sécurité et
réussir à s'installer sans intervention de l'utilisateur).
Reste les façons plus classiques de diffusion de malware (e-mail,
liens véreux etc.), et là c'est à l'utilisateur de ne pas cliquer
partout sans réfléchir.
Bref, je ne me sens pas inquiété par cette nouvelle, et ne suis pas
prêt à investir dans un antivirus pour Linux ;)
Grégory Reinbold UNIX - Where there is a shell, there is a way.
Le 28/01/2016 10:50, Julien H a écrit :
On 01/28/2016 10:05 AM, Alex PADOLY wrote:
Je ne sais pas si c'est de l'intox....je trouve inquiétant qu'un virus puis évoluer dans un environnement Linux : Qu'en pensez-vous ?
Des virus existent pour tous les OS, c'est pas pour autant qu'on les attrape !
Il n'est pas difficile de développer un programme qui prend une capture d'écran toutes les 30 secondes. C'est ce que fait le "virus" dont tu parles.
Nulle part il n'est fait mention de la façon dont ce programme se diffuse, on peut donc en déduire qu'il ne se diffuse pas de lui-même (pour se faire, il faudrait exploiter une faille de sécurité et réussir à s'installer sans intervention de l'utilisateur).
Reste les façons plus classiques de diffusion de malware (e-mail, liens véreux etc.), et là c'est à l'utilisateur de ne pas cliquer partout sans réfléchir.
Bref, je ne me sens pas inquiété par cette nouvelle, et ne suis pas prêt à investir dans un antivirus pour Linux ;)
La réponse semble vite trouvée : Dr Web : Éditeur russe de solutions de sécurité informatique. Solutions antivirus et antispam pour entreprises, institutions et organisme s publics et particuliers : https://www.drweb.fr/
"L'info" vient d'un éditeur d'antivirus et de sécurité et la répons e est : "achetez mes produits" , "achetez mes produits" !
La crédibilité de cette info est sans grande valeur, les Linuxiens peuvent dormir sur leurs deux oreilles.
André
On Thursday 28 January 2016 10:05:22 Alex PADOLY wrote:
Je ne sais pas si c'est de l'intox....je trouve
inquiétant qu'un virus puis évoluer dans un environnement Linux :
La réponse semble vite trouvée :
Dr Web :
Éditeur russe de solutions de sécurité informatique.
Solutions antivirus et antispam pour entreprises, institutions et organisme s
publics et particuliers :
https://www.drweb.fr/
"L'info" vient d'un éditeur d'antivirus et de sécurité et la répons e est :
"achetez mes produits" , "achetez mes produits" !
La crédibilité de cette info est sans grande valeur,
les Linuxiens peuvent dormir sur leurs deux oreilles.
La réponse semble vite trouvée : Dr Web : Éditeur russe de solutions de sécurité informatique. Solutions antivirus et antispam pour entreprises, institutions et organisme s publics et particuliers : https://www.drweb.fr/
"L'info" vient d'un éditeur d'antivirus et de sécurité et la répons e est : "achetez mes produits" , "achetez mes produits" !
La crédibilité de cette info est sans grande valeur, les Linuxiens peuvent dormir sur leurs deux oreilles.
La réponse semble vite trouvée : Dr Web : Éditeur russe de solutions de sécurité informatique. Solutions antivirus et antispam pour entreprises, institutions et organismes publics et particuliers : https://www.drweb.fr/
"L'info" vient d'un éditeur d'antivirus et de sécurité et la réponse est : "achetez mes produits" , "achetez mes produits" !
La crédibilité de cette info est sans grande valeur, les Linuxiens peuvent dormir sur leurs deux oreilles.
André
Un jour viendra où ce genre d'éditeur développera le mal et le remède
(un peu comme Mc'Do et les industries pharma qui produisent l'insuline).
Diffusion à grande échelle d'un troyen puis vente du patch correctif.
Business is business...
Grégory Reinbold
UNIX - Where there is a shell, there is a way.
Le 28/01/2016 11:28, andre_debian@numericable.fr a écrit :
On Thursday 28 January 2016 10:05:22 Alex PADOLY wrote:
Je ne sais pas si c'est de l'intox....je trouve
inquiétant qu'un virus puis évoluer dans un environnement Linux :
La réponse semble vite trouvée :
Dr Web :
Éditeur russe de solutions de sécurité informatique.
Solutions antivirus et antispam pour entreprises, institutions et organismes
publics et particuliers :
https://www.drweb.fr/
"L'info" vient d'un éditeur d'antivirus et de sécurité et la réponse est :
"achetez mes produits" , "achetez mes produits" !
La crédibilité de cette info est sans grande valeur,
les Linuxiens peuvent dormir sur leurs deux oreilles.
La réponse semble vite trouvée : Dr Web : Éditeur russe de solutions de sécurité informatique. Solutions antivirus et antispam pour entreprises, institutions et organismes publics et particuliers : https://www.drweb.fr/
"L'info" vient d'un éditeur d'antivirus et de sécurité et la réponse est : "achetez mes produits" , "achetez mes produits" !
La crédibilité de cette info est sans grande valeur, les Linuxiens peuvent dormir sur leurs deux oreilles.
André
Vincent Besse
On Thu, 28 Jan 2016 10:45:11 +0100 Pierre TOUZEAU wrote:
Tout à fait d'accord avec toi de toutes façon il y a toujours une solution pour faire du hack, moi j'ai toujours pensé que si on était à l'abri c'était parce que le nombre d'utilisateurs linux était faible maintenant qu'il y a une progression du nombre d'utilisateur linux client/serveurs les hackeurs risque de nous trouver plus intéressent d'autre part les sociétés d’antivirus et autres société commerciale qui du coup perde de l'argent à chaque fois que quelqu'un passe sous linux risque de devenir créative donc du coup il vas falloir surveiller un peut certes sous linux la sécurité est meilleur enfin du moins c'est ce que j'ai toujours pensé mais elle est du surtout au fait que personne n'est en root non stop du coup si sous window$ les gens n'utilisait pas la session admin permanent il y aurais moins de problème après le reste c'est de la connaissance ne pas cliquer sur tout ce qui se présente par email ou en pop-up peut limiter ces problèmes de sécurités de toutes façon on y auras le droit c'est comme sa aucun système de sécurité n'est inviolable ....
cordialement
Le 28/01/2016 12:54, Etilem a écrit :
bonjour,
Le jeu. 28 janv. 2016 11:28:47 CET, a écrit:
les Linuxiens peuvent dormir sur leurs deux oreilles.
attends, je vais te réveiller moi, lol
imaginons : je suis un spammeur patenté à la recherche de vols de serveurs pour étendre mon activité, mon objectif est de collecter frauduleusement un maximum de clés privées SSH d'administrateurs de serveurs pour m'approprier leurs ressources, alléchant n'est-ce pas ? mais techniquement est-ce possible ?
imaginons que je détienne une faille 0day ou même connue et corrigée de tel navigateur et que cette faille me permette d'écrire dans le système de fichiers de ma victime pour y placer un cheval de Troie, j'ai donc en ma possession un User-agent faible (les versions précédentes pour une faille corrigée) qu'il convient d'exploiter,
imaginons que j'inonde de spams la planète entière avec un lien vers un site web qui dynamiquement ciblerait cet User-agent faible, s'il est détecté, envoie le cheval de Troie sur la machine cible... alors, bien sûr, je risque de me prendre pas mal de proxies http dans les dents, mais sur le lot, il me reste une chance d'y arriver,
imaginons que grâce aux captures d'écran générées toutes les 30 secondes et transmises à l'une de mes IP, je remarque une victime utilisatrice de SSH, il me reste, grâce à mon C&C, qu'à télécharger sa clé privée, ou à défaut, qu'à placer un keylogger pour obtenir le mot de passe.
CQFD ?
p.s.: pour la détection d'un cheval de Troie, les lignes grisées de wireshark sont tes amies :)
-- Etilem
bonjour,
Tout à fait d'accord avec toi de toutes façon il y a toujours une
solution pour faire du hack, moi j'ai toujours pensé que si on était à
l'abri c'était parce que le nombre d'utilisateurs linux était faible
maintenant qu'il y a une progression du nombre d'utilisateur linux
client/serveurs les hackeurs risque de nous trouver plus intéressent
d'autre part les sociétés d’antivirus et autres société commerciale qui
du coup perde de l'argent à chaque fois que quelqu'un passe sous linux
risque de devenir créative donc du coup il vas falloir surveiller un
peut certes sous linux la sécurité est meilleur enfin du moins c'est ce
que j'ai toujours pensé mais elle est du surtout au fait que personne
n'est en root non stop du coup si sous window$ les gens n'utilisait pas
la session admin permanent il y aurais moins de problème après le reste
c'est de la connaissance ne pas cliquer sur tout ce qui se présente par
email ou en pop-up peut limiter ces problèmes de sécurités de toutes
façon on y auras le droit c'est comme sa aucun système de sécurité n'est
inviolable ....
cordialement
Le 28/01/2016 12:54, Etilem a écrit :
bonjour,
Le jeu. 28 janv. 2016 11:28:47 CET, andre_debian@numericable.fr a écrit:
les Linuxiens peuvent dormir sur leurs deux oreilles.
attends, je vais te réveiller moi, lol
imaginons : je suis un spammeur patenté à la recherche de vols de
serveurs pour étendre mon activité, mon objectif est de collecter
frauduleusement un maximum de clés privées SSH d'administrateurs de
serveurs pour m'approprier leurs ressources, alléchant n'est-ce pas ?
mais techniquement est-ce possible ?
imaginons que je détienne une faille 0day ou même connue et corrigée de
tel navigateur et que cette faille me permette d'écrire dans le système
de fichiers de ma victime pour y placer un cheval de Troie, j'ai donc
en ma possession un User-agent faible (les versions précédentes pour
une faille corrigée) qu'il convient d'exploiter,
imaginons que j'inonde de spams la planète entière avec un lien vers un
site web qui dynamiquement ciblerait cet User-agent faible, s'il est
détecté, envoie le cheval de Troie sur la machine cible... alors, bien
sûr, je risque de me prendre pas mal de proxies http dans les dents,
mais sur le lot, il me reste une chance d'y arriver,
imaginons que grâce aux captures d'écran générées toutes les 30
secondes et transmises à l'une de mes IP, je remarque une victime
utilisatrice de SSH, il me reste, grâce à mon C&C, qu'à télécharger sa
clé privée, ou à défaut, qu'à placer un keylogger pour obtenir le mot
de passe.
CQFD ?
p.s.: pour la détection d'un cheval de Troie, les lignes grisées de
wireshark sont tes amies :)
Tout à fait d'accord avec toi de toutes façon il y a toujours une solution pour faire du hack, moi j'ai toujours pensé que si on était à l'abri c'était parce que le nombre d'utilisateurs linux était faible maintenant qu'il y a une progression du nombre d'utilisateur linux client/serveurs les hackeurs risque de nous trouver plus intéressent d'autre part les sociétés d’antivirus et autres société commerciale qui du coup perde de l'argent à chaque fois que quelqu'un passe sous linux risque de devenir créative donc du coup il vas falloir surveiller un peut certes sous linux la sécurité est meilleur enfin du moins c'est ce que j'ai toujours pensé mais elle est du surtout au fait que personne n'est en root non stop du coup si sous window$ les gens n'utilisait pas la session admin permanent il y aurais moins de problème après le reste c'est de la connaissance ne pas cliquer sur tout ce qui se présente par email ou en pop-up peut limiter ces problèmes de sécurités de toutes façon on y auras le droit c'est comme sa aucun système de sécurité n'est inviolable ....
cordialement
Le 28/01/2016 12:54, Etilem a écrit :
bonjour,
Le jeu. 28 janv. 2016 11:28:47 CET, a écrit:
les Linuxiens peuvent dormir sur leurs deux oreilles.
attends, je vais te réveiller moi, lol
imaginons : je suis un spammeur patenté à la recherche de vols de serveurs pour étendre mon activité, mon objectif est de collecter frauduleusement un maximum de clés privées SSH d'administrateurs de serveurs pour m'approprier leurs ressources, alléchant n'est-ce pas ? mais techniquement est-ce possible ?
imaginons que je détienne une faille 0day ou même connue et corrigée de tel navigateur et que cette faille me permette d'écrire dans le système de fichiers de ma victime pour y placer un cheval de Troie, j'ai donc en ma possession un User-agent faible (les versions précédentes pour une faille corrigée) qu'il convient d'exploiter,
imaginons que j'inonde de spams la planète entière avec un lien vers un site web qui dynamiquement ciblerait cet User-agent faible, s'il est détecté, envoie le cheval de Troie sur la machine cible... alors, bien sûr, je risque de me prendre pas mal de proxies http dans les dents, mais sur le lot, il me reste une chance d'y arriver,
imaginons que grâce aux captures d'écran générées toutes les 30 secondes et transmises à l'une de mes IP, je remarque une victime utilisatrice de SSH, il me reste, grâce à mon C&C, qu'à télécharger sa clé privée, ou à défaut, qu'à placer un keylogger pour obtenir le mot de passe.
CQFD ?
p.s.: pour la détection d'un cheval de Troie, les lignes grisées de wireshark sont tes amies :)
-- Etilem
S
Bonjour,
Le jeudi 28 janvier 2016 à 10:42, Bernard Schoenacker a écrit :
C'est fou l'opportunisme dont font preuve certains… À peine une rumeur commence à circuler et avant même d'avoir un quelconque semblant d'information technique que déjà des pages apparaissent avec un joli bouton « Télécharge moi ! ».
Désinfecter un Linux en désinstallant des modules complémentaires de IE/Firefox/Chrome sous Windows ?!? La personne qui a écrit ça n'a décidément pas beaucoup d'amour propre.
Le simple fait de parler de désinfecter un Linux depuis Windows m'amuse pas mal, je ne suis pas sûr que Ext[2|3|4] soient encore gérés par Windows, quant aux autres systèmes de fichiers…
Bref, opportunisme…
Sébastien
Bonjour,
Le jeudi 28 janvier 2016 à 10:42, Bernard Schoenacker a écrit :
C'est fou l'opportunisme dont font preuve certains… À peine une rumeur commence
à circuler et avant même d'avoir un quelconque semblant d'information technique
que déjà des pages apparaissent avec un joli bouton « Télécharge moi ! ».
Désinfecter un Linux en désinstallant des modules complémentaires de
IE/Firefox/Chrome sous Windows ?!? La personne qui a écrit ça n'a décidément pas
beaucoup d'amour propre.
Le simple fait de parler de désinfecter un Linux depuis Windows m'amuse pas mal,
je ne suis pas sûr que Ext[2|3|4] soient encore gérés par Windows, quant aux
autres systèmes de fichiers…
C'est fou l'opportunisme dont font preuve certains… À peine une rumeur commence à circuler et avant même d'avoir un quelconque semblant d'information technique que déjà des pages apparaissent avec un joli bouton « Télécharge moi ! ».
Désinfecter un Linux en désinstallant des modules complémentaires de IE/Firefox/Chrome sous Windows ?!? La personne qui a écrit ça n'a décidément pas beaucoup d'amour propre.
Le simple fait de parler de désinfecter un Linux depuis Windows m'amuse pas mal, je ne suis pas sûr que Ext[2|3|4] soient encore gérés par Windows, quant aux autres systèmes de fichiers…
