IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Dr Web détecte sur Linux un nouveau cheval de Troie
Qui espionne les utilisateurs en effectuant régulièrement des captures d'écran du système

Le , par Olivier Famien

63PARTAGES

5  0 
Dr Web, l’éditeur de solutions de sécurité informatique a découvert, depuis quelques jours, un nouveau cheval de Troie affectant la plateforme Linux. Il se nomme Linux.Ekoms.1 et a été conçu pour effectuer des captures d’écran toutes les trente secondes lorsqu’il accède à un équipement tournant avec Linux.

Pour y arriver, le malware va parcourir l’un des sous-dossiers du répertoire home du système infecté afin de s’assurer qu’il contient des fichiers avec un nom particulier. Ci-dessous les répertoires parcourus par le malware :

  • $HOME/$DATA/.mozilla/firefox/profiled
  • $HOME/$DATA/.dropbox/DropboxCache

Si les fichiers ne sont pas trouvés, le cheval de Troie choisit un dossier au hasard pour installer sa propre copie et lance cette nouvelle installation à partir du nouveau répertoire. Cette action est effectuée afin de s’assurer que l’application est fonctionnelle. Une fois cette garantie obtenue, Linux.Ekoms.1 se connecte au serveur distant et est prêt à envoyer les données collectées à des adresses codées en dur dans le corps du malware.

Pour collecter les données, le malware effectue des captures d’écran toutes les 30 secondes qu’il sauvegarde dans un dossier temporaire au format JPEG. Si la tentative de sauvegarde au format JPEG échoue, le cheval de Troie lance un autre processus en tentant de sauvegarder ces captures d’écran au format BMP.

Lorsque les sauvegardes sont effectuées avec succès, le malware configure un proxy et télécharge le dossier temporaire sur le serveur distant à intervalles réguliers. Nous rappelons, par ailleurs, que toutes les données transmises entre le cheval de Troie et le serveur de commande et contrôle (C&C) sont chiffrées. Le cheval de Troie en lui-même contient une clé RSA utilisée pour obtenir la clé de la session AES. Le chiffrement est initialement effectué en utilisant la clé publique et le déchiffrement est exécuté en appliquant la fonction RSA_public_decrypt aux données reçues.

En considérant ces fonctionnalités, il parait évident que l’objectif des auteurs de ce logiciel malveillant est d’espionner les activités des utilisateurs sur la plateforme Linux.

Dr Web souligne qu’en plus d’être capable d’effectuer des captures d’écran, « le code du cheval de Troie contient une fonctionnalité spéciale lui permettant d’enregistrer les sons et de les sauvegarder dans un fichier. aat au format WAV. Cependant, il apparaît que cette fonction n’est utilisée nulle part ».

Il faut noter, en outre, qu’aucune communication n’a été faite par Dr Web sur les failles exploitées par le cheval pour infecter le système d'exploitation Linux.

Source : Dr Web

Et vous ?

Que pensez-vous de ce nouveau cheval de Troie ?

Les utilisateurs Linux doivent-ils être inquiets ?

Voir aussi

Forum Sécurité

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de sevyc64
Modérateur https://www.developpez.com
Le 21/01/2016 à 13:12
Citation Envoyé par NSKis Voir le message
Monsieur, Monsieur... Est-ce que ma feuille de papier et mon stylo bille peuvent m'espionner???
Moins directement mais oui.
L'espionnage n'a pas attendu le 20ème siècle et la technologie pour exister
3  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 21/01/2016 à 19:29
Théorie du complot, tout ça... {^_°}

C'est bien pratique pour répondre quand on n'a rien à dire. {^o^}
3  0 
Avatar de syj
Membre régulier https://www.developpez.com
Le 21/01/2016 à 14:48
Au vu de la description, çà ressemble au projet d'un étudiant en sécurité informatique.

Je pense que le virus se présente sous la forme d'un fichier .zip:
- makefile
- README
- execute.c (plein de code dégueulasse)
- un point .ods pour décrire le projet.

Pour se faire infecter, il faut éxecuter les commandes du README et regarder sur un forum pour régler les problèmes de dépendances
2  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 21/01/2016 à 19:10
Ah le fameux mythe de l'éditeur d'antivirus qui crée lui-même les virus pour pouvoir vendre ses produits.
Pas impossible, mais en plus de 30 ans que l'on nous sort ce truc, il n'y a pas encore eu de preuve formelle. Mais, pas impossible.
1  0 
Avatar de nipepsi
Futur Membre du Club https://www.developpez.com
Le 21/01/2016 à 13:17
Question de neuneu mais comment est diffusé ce cheval de troie ? C'est un simple fichier exécutable ?
0  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 21/01/2016 à 17:35
Citation Envoyé par Olivier Famien Voir le message
Il faut noter, en outre, qu’aucune communication n’a été faite par Dr Web sur les failles exploitées par le cheval pour infecter le système d'exploitation Linux.
Il ne manquerait plus qu'en fait ce soit eux qui l'ait conçu et qui font semblant d'avoir découvert une nouvelle attaque juste pour mieux vendre leurs produits. Connaissant alors parfaitement le système qu'ils auraient fait, ils se rendraient bien compte que ça a été fait à la va vite et nécessite donc de faire des choses qu'aucun utilisateur ne ferait (si ce n'est exprès). Dans une telle situation, il serait normale donc de ne pas dire comment l'attaque peut être mise en place, vu que ça casserait le buzz. {^_^}
1  1 
Avatar de bizulk
Membre confirmé https://www.developpez.com
Le 23/01/2016 à 0:11
La méthode de propagation du virus est aussi importante que son 'infection'.
On n'a pas d'info là-dessus donc difficile de s'inquiéter.
0  0 
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 21/01/2016 à 12:35
Et quelle conclusion faut-il tirer de ces annonces à répétition? Tout simplement que AUCUN système n'est à l'abri du moment qu'il est connecté à internet! Linux pas plus que les autres (du moment que Linux a accédé à la "notoriété" avec Android, il devient une cible pour les hackers de tout poil)

Monsieur, Monsieur... Est-ce que ma feuille de papier et mon stylo bille peuvent m'espionner???
0  1