IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Dr Web détecte sur Linux un nouveau cheval de Troie


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    Janvier 2014
    Messages
    1 089
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 089
    Points : 26 557
    Points
    26 557
    Par défaut Dr Web détecte sur Linux un nouveau cheval de Troie
    Dr Web détecte sur Linux un nouveau cheval de Troie
    qui espionne les utilisateurs en effectuant régulièrement des captures d’écran du système

    Dr Web, l’éditeur de solutions de sécurité informatique a découvert, depuis quelques jours, un nouveau cheval de Troie affectant la plateforme Linux. Il se nomme Linux.Ekoms.1 et a été conçu pour effectuer des captures d’écran toutes les trente secondes lorsqu’il accède à un équipement tournant avec Linux.

    Pour y arriver, le malware va parcourir l’un des sous-dossiers du répertoire home du système infecté afin de s’assurer qu’il contient des fichiers avec un nom particulier. Ci-dessous les répertoires parcourus par le malware :

    • $HOME/$DATA/.mozilla/firefox/profiled
    • $HOME/$DATA/.dropbox/DropboxCache

    Si les fichiers ne sont pas trouvés, le cheval de Troie choisit un dossier au hasard pour installer sa propre copie et lance cette nouvelle installation à partir du nouveau répertoire. Cette action est effectuée afin de s’assurer que l’application est fonctionnelle. Une fois cette garantie obtenue, Linux.Ekoms.1 se connecte au serveur distant et est prêt à envoyer les données collectées à des adresses codées en dur dans le corps du malware.

    Pour collecter les données, le malware effectue des captures d’écran toutes les 30 secondes qu’il sauvegarde dans un dossier temporaire au format JPEG. Si la tentative de sauvegarde au format JPEG échoue, le cheval de Troie lance un autre processus en tentant de sauvegarder ces captures d’écran au format BMP.

    Lorsque les sauvegardes sont effectuées avec succès, le malware configure un proxy et télécharge le dossier temporaire sur le serveur distant à intervalles réguliers. Nous rappelons, par ailleurs, que toutes les données transmises entre le cheval de Troie et le serveur de commande et contrôle (C&C) sont chiffrées. Le cheval de Troie en lui-même contient une clé RSA utilisée pour obtenir la clé de la session AES. Le chiffrement est initialement effectué en utilisant la clé publique et le déchiffrement est exécuté en appliquant la fonction RSA_public_decrypt aux données reçues.

    En considérant ces fonctionnalités, il parait évident que l’objectif des auteurs de ce logiciel malveillant est d’espionner les activités des utilisateurs sur la plateforme Linux.

    Dr Web souligne qu’en plus d’être capable d’effectuer des captures d’écran, « le code du cheval de Troie contient une fonctionnalité spéciale lui permettant d’enregistrer les sons et de les sauvegarder dans un fichier. aat au format WAV. Cependant, il apparaît que cette fonction n’est utilisée nulle part ».

    Il faut noter, en outre, qu’aucune communication n’a été faite par Dr Web sur les failles exploitées par le cheval pour infecter le système d'exploitation Linux.

    Source : Dr Web

    Et vous ?

    Que pensez-vous de ce nouveau cheval de Troie ?

    Les utilisateurs Linux doivent-ils être inquiets ?

    Voir aussi

    Forum Sécurité

  2. #2
    En attente de confirmation mail
    Femme Profil pro
    pape n'aimant pas les censeurs
    Inscrit en
    Janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Vatican

    Informations professionnelles :
    Activité : pape n'aimant pas les censeurs

    Informations forums :
    Inscription : Janvier 2010
    Messages : 803
    Points : 1 407
    Points
    1 407
    Par défaut
    Et quelle conclusion faut-il tirer de ces annonces à répétition? Tout simplement que AUCUN système n'est à l'abri du moment qu'il est connecté à internet! Linux pas plus que les autres (du moment que Linux a accédé à la "notoriété" avec Android, il devient une cible pour les hackers de tout poil)

    Monsieur, Monsieur... Est-ce que ma feuille de papier et mon stylo bille peuvent m'espionner???

  3. #3
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 233
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 233
    Points : 28 261
    Points
    28 261
    Par défaut
    Citation Envoyé par NSKis Voir le message
    Monsieur, Monsieur... Est-ce que ma feuille de papier et mon stylo bille peuvent m'espionner???
    Moins directement mais oui.
    L'espionnage n'a pas attendu le 20ème siècle et la technologie pour exister

  4. #4
    Futur Membre du Club
    Profil pro
    Inscrit en
    Juin 2003
    Messages
    10
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2003
    Messages : 10
    Points : 6
    Points
    6
    Par défaut Sous quelle forme est diffusé ce cheval de troie ?
    Question de neuneu mais comment est diffusé ce cheval de troie ? C'est un simple fichier exécutable ?

  5. #5
    syj
    syj est déconnecté
    Membre régulier

    Profil pro
    DEV
    Inscrit en
    Septembre 2002
    Messages
    38
    Détails du profil
    Informations personnelles :
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : DEV

    Informations forums :
    Inscription : Septembre 2002
    Messages : 38
    Points : 114
    Points
    114
    Par défaut
    Au vu de la description, çà ressemble au projet d'un étudiant en sécurité informatique.

    Je pense que le virus se présente sous la forme d'un fichier .zip:
    - makefile
    - README
    - execute.c (plein de code dégueulasse)
    - un point .ods pour décrire le projet.

    Pour se faire infecter, il faut éxecuter les commandes du README et regarder sur un forum pour régler les problèmes de dépendances

  6. #6
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 273
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 273
    Points : 7 807
    Points
    7 807
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Olivier Famien Voir le message
    Il faut noter, en outre, qu’aucune communication n’a été faite par Dr Web sur les failles exploitées par le cheval pour infecter le système d'exploitation Linux.
    Il ne manquerait plus qu'en fait ce soit eux qui l'ait conçu et qui font semblant d'avoir découvert une nouvelle attaque juste pour mieux vendre leurs produits. Connaissant alors parfaitement le système qu'ils auraient fait, ils se rendraient bien compte que ça a été fait à la va vite et nécessite donc de faire des choses qu'aucun utilisateur ne ferait (si ce n'est exprès). Dans une telle situation, il serait normale donc de ne pas dire comment l'attaque peut être mise en place, vu que ça casserait le buzz. {^_^}

  7. #7
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 233
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 233
    Points : 28 261
    Points
    28 261
    Par défaut
    Ah le fameux mythe de l'éditeur d'antivirus qui crée lui-même les virus pour pouvoir vendre ses produits.
    Pas impossible, mais en plus de 30 ans que l'on nous sort ce truc, il n'y a pas encore eu de preuve formelle. Mais, pas impossible.

  8. #8
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 273
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 273
    Points : 7 807
    Points
    7 807
    Billets dans le blog
    3
    Par défaut
    Théorie du complot, tout ça... {^_°}

    C'est bien pratique pour répondre quand on n'a rien à dire. {^o^}

  9. #9
    Membre confirmé

    Homme Profil pro
    Développeur en systèmes embarqués
    Inscrit en
    Février 2005
    Messages
    464
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur en systèmes embarqués
    Secteur : Industrie

    Informations forums :
    Inscription : Février 2005
    Messages : 464
    Points : 646
    Points
    646
    Par défaut oui mais
    La méthode de propagation du virus est aussi importante que son 'infection'.
    On n'a pas d'info là-dessus donc difficile de s'inquiéter.

Discussions similaires

  1. cheval de troie détecté sur exec avec strtod
    Par Algernon2 dans le forum C++
    Réponses: 9
    Dernier message: 16/05/2012, 13h03
  2. Android : un nouveau cheval de troie découvert par Symantec
    Par Hinault Romaric dans le forum Android
    Réponses: 12
    Dernier message: 16/02/2012, 14h13
  3. Réponses: 3
    Dernier message: 15/09/2009, 22h25
  4. [Annonce] Nouveau cheval de Troie
    Par Skyounet dans le forum Sécurité
    Réponses: 2
    Dernier message: 13/11/2005, 16h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo