Developpez.com

Le Club des Développeurs et IT Pro

Dr Web détecte sur Linux un nouveau cheval de Troie

Qui espionne les utilisateurs en effectuant régulièrement des captures d'écran du système

Le 2016-01-20 20:23:40, par Olivier Famien, Chroniqueur Actualités
Dr Web, l’éditeur de solutions de sécurité informatique a découvert, depuis quelques jours, un nouveau cheval de Troie affectant la plateforme Linux. Il se nomme Linux.Ekoms.1 et a été conçu pour effectuer des captures d’écran toutes les trente secondes lorsqu’il accède à un équipement tournant avec Linux.

Pour y arriver, le malware va parcourir l’un des sous-dossiers du répertoire home du système infecté afin de s’assurer qu’il contient des fichiers avec un nom particulier. Ci-dessous les répertoires parcourus par le malware :

  • $HOME/$DATA/.mozilla/firefox/profiled
  • $HOME/$DATA/.dropbox/DropboxCache

Si les fichiers ne sont pas trouvés, le cheval de Troie choisit un dossier au hasard pour installer sa propre copie et lance cette nouvelle installation à partir du nouveau répertoire. Cette action est effectuée afin de s’assurer que l’application est fonctionnelle. Une fois cette garantie obtenue, Linux.Ekoms.1 se connecte au serveur distant et est prêt à envoyer les données collectées à des adresses codées en dur dans le corps du malware.

Pour collecter les données, le malware effectue des captures d’écran toutes les 30 secondes qu’il sauvegarde dans un dossier temporaire au format JPEG. Si la tentative de sauvegarde au format JPEG échoue, le cheval de Troie lance un autre processus en tentant de sauvegarder ces captures d’écran au format BMP.

Lorsque les sauvegardes sont effectuées avec succès, le malware configure un proxy et télécharge le dossier temporaire sur le serveur distant à intervalles réguliers. Nous rappelons, par ailleurs, que toutes les données transmises entre le cheval de Troie et le serveur de commande et contrôle (C&C) sont chiffrées. Le cheval de Troie en lui-même contient une clé RSA utilisée pour obtenir la clé de la session AES. Le chiffrement est initialement effectué en utilisant la clé publique et le déchiffrement est exécuté en appliquant la fonction RSA_public_decrypt aux données reçues.

En considérant ces fonctionnalités, il parait évident que l’objectif des auteurs de ce logiciel malveillant est d’espionner les activités des utilisateurs sur la plateforme Linux.

Dr Web souligne qu’en plus d’être capable d’effectuer des captures d’écran, « le code du cheval de Troie contient une fonctionnalité spéciale lui permettant d’enregistrer les sons et de les sauvegarder dans un fichier. aat au format WAV. Cependant, il apparaît que cette fonction n’est utilisée nulle part ».

Il faut noter, en outre, qu’aucune communication n’a été faite par Dr Web sur les failles exploitées par le cheval pour infecter le système d'exploitation Linux.

Source : Dr Web

Et vous ?

Que pensez-vous de ce nouveau cheval de Troie ?

Les utilisateurs Linux doivent-ils être inquiets ?

Voir aussi

Forum Sécurité
  Discussion forum
8 commentaires
  • sevyc64
    Modérateur
    Envoyé par NSKis
    Monsieur, Monsieur... Est-ce que ma feuille de papier et mon stylo bille peuvent m'espionner???
    Moins directement mais oui.
    L'espionnage n'a pas attendu le 20ème siècle et la technologie pour exister
    le 21/01/2016 à 13:12
  • Matthieu Vergne
    Expert éminent
    Théorie du complot, tout ça... {^_°}

    C'est bien pratique pour répondre quand on n'a rien à dire. {^o^}
    le 21/01/2016 à 19:29
  • syj
    Membre régulier
    Au vu de la description, çà ressemble au projet d'un étudiant en sécurité informatique.

    Je pense que le virus se présente sous la forme d'un fichier .zip:
    - makefile
    - README
    - execute.c (plein de code dégueulasse)
    - un point .ods pour décrire le projet.

    Pour se faire infecter, il faut éxecuter les commandes du README et regarder sur un forum pour régler les problèmes de dépendances
    le 21/01/2016 à 14:48
  • sevyc64
    Modérateur
    Ah le fameux mythe de l'éditeur d'antivirus qui crée lui-même les virus pour pouvoir vendre ses produits.
    Pas impossible, mais en plus de 30 ans que l'on nous sort ce truc, il n'y a pas encore eu de preuve formelle. Mais, pas impossible.
    le 21/01/2016 à 19:10
  • nipepsi
    Futur Membre du Club
    Question de neuneu mais comment est diffusé ce cheval de troie ? C'est un simple fichier exécutable ?
    le 21/01/2016 à 13:17
  • Matthieu Vergne
    Expert éminent
    Envoyé par Olivier Famien
    Il faut noter, en outre, qu’aucune communication n’a été faite par Dr Web sur les failles exploitées par le cheval pour infecter le système d'exploitation Linux.
    Il ne manquerait plus qu'en fait ce soit eux qui l'ait conçu et qui font semblant d'avoir découvert une nouvelle attaque juste pour mieux vendre leurs produits. Connaissant alors parfaitement le système qu'ils auraient fait, ils se rendraient bien compte que ça a été fait à la va vite et nécessite donc de faire des choses qu'aucun utilisateur ne ferait (si ce n'est exprès). Dans une telle situation, il serait normale donc de ne pas dire comment l'attaque peut être mise en place, vu que ça casserait le buzz. {^_^}
    le 21/01/2016 à 17:35
  • bizulk
    Membre confirmé
    La méthode de propagation du virus est aussi importante que son 'infection'.
    On n'a pas d'info là-dessus donc difficile de s'inquiéter.
    le 23/01/2016 à 0:11
  • NSKis
    En attente de confirmation mail
    Et quelle conclusion faut-il tirer de ces annonces à répétition? Tout simplement que AUCUN système n'est à l'abri du moment qu'il est connecté à internet! Linux pas plus que les autres (du moment que Linux a accédé à la "notoriété" avec Android, il devient une cible pour les hackers de tout poil)

    Monsieur, Monsieur... Est-ce que ma feuille de papier et mon stylo bille peuvent m'espionner???
    le 21/01/2016 à 12:35
  Poster une réponse