

Les chercheurs ont indiqué que le cheval de Troie Linux se compose d'un injecteur (pour installer le logiciel malveillant sur le système cible) et d'une charge utile placée sur l'appareil infecté qui remplit les fonctions de base des logiciels espions. C'est l'injecteur qui va lancer une page d'identification portant le logo Pay MaQ.
Une fois que l'injecteur a été installé, une porte dérobée est sauvegardée dans le fichier /tmp/.ltmp/, porte dérobée qui va servir à établir une connexion chiffrée avec un serveur de commande et contrôle (C&C) depuis lequel seront lancées de nombreuses commandes comme prendre des captures d'écran, enregistrer les saisies clavier puis retransmettre les données résultantes.
Malgré la présence du logo de Pay MaQ sur la page d'identification, un porte-parole de Dr Web a fait savoir que les chercheurs ne sont pas encore fixés sur la question de savoir si le logiciel malveillant a été conçu spécialement pour viser les DAB Bitcoins de Pay MaQ.
L'injecteur contient également trois couples noms d'utilisateurs et mots de passe associés relatifs au cheval de Troie. La page d'identification va retourner un message d'erreur (« ID utilisateur ou mot de passe incorrect. S'il vous plaît, veuillez essayer de nouveau ») à moins que ces identifiants ne soient utilisés. Les chercheurs ont supposé que les mots de passe sont juste une information de débogage que les éditeurs du logiciel malveillant ont oublié d'enlever.
Linux.BackDoor.Xunpes.1 est le second logiciel malveillant s'attaquant à des machines tournant sur Linux sur lequel Dr Web a mis le doigt en l'espace d'une semaine. Le précédent, Linux.Ekoms.1, a été conçu pour effectuer des captures d’écran toutes les trente secondes, dès lors qu'il a accès à une machine sous Linux, et envoyer les données à un serveur distant. Dr Web avait également souligné qu’en plus d’être capable d’effectuer des captures d’écran, « le code du cheval de Troie contient une fonctionnalité spéciale lui permettant d’enregistrer les sons et de les sauvegarder dans un fichier .aat au format WAV. Cependant, il apparaît que cette fonction n’est utilisée nulle part ».
Cependant, l'éditeur n'a pas encore été en mesure d'expliquer comment sont diffusées les infections de ces deux chevaux de Troie : « l'enquête suit son cours. Le serveur C & C était hébergé sur un site web suspect qui affichait une erreur 403 (accès refusé) il y a quelques jours. Il est possible que les victimes aient téléchargé le logiciel malveillant de ce site et il a été fermé après avoir obtenu l'attention des spécialistes d'InfoSec ».
Source : Dr Web
Voir aussi :
