Publié par UnderNews Actu - Télécharger l'application Android

Et oui, les malwares visant Linux existent (tout comme ceux ciblant Mac au passage). D’ailleurs, l’équipe de Dr Web vient de mettre la main sur un tout nouveau cheval de Troie Linux dédié à l’espionnage et permettant des captures d’écran.

L’éditeur de solutions de sécurité russe Dr Web a découvert un nouveau cheval de Troie affectant les systèmes Linux, baptisé Linux.Ekoms.1 qui a été conçu pour effectuer des captures d’écran à intervalles réguliers (toutes les trente secondes) sur une machine infectée. Un outil d’espionnage donc à distance.

Quid du fonctionnement ? Le malware va parcourir l’un des sous-dossiers du répertoire home du système infecté à la recherche de dossiers et fichiers particuliers :

  • $HOME/$DATA/.mozilla/firefox/profiled
  • $HOME/$DATA/.dropbox/DropboxCache
CyberGhost VPN Promo

Si la recherche s’avère négative, le trojan va créer au hasard un dossier dédié à son installation pour renforcer sa sécurité et implantation sur la machine. Ensuite, Linux.Ekoms.1 se connecte au serveur distant de contrôle et est alors prêt à envoyer les données collectées sous forme d’images à des adresses distantes renseignées en dur dans le corps du malware.

Le principe est simple : le malware effectue des captures d’écran toutes les 30 secondes qu’il sauvegarde dans un dossier temporaire au format JPEG. Si la tentative de sauvegarde au format JPEG échoue, le cheval de Troie lance un autre processus en tentant de sauvegarder ces captures d’écran au format BMP. Il configure ensuite un proxy et envoie le dossier temporaire sur le serveur distant à intervalles réguliers, le tout chiffrées via une clé RSA utilisée pour obtenir la clé de session AES. Le chiffrement est initialement effectué en utilisant la clé publique et le déchiffrement est exécuté en appliquant la fonction RSA_public_decrypt aux données reçues.

« Le code du cheval de Troie contient une fonctionnalité spéciale lui permettant d’enregistrer les sons et de les sauvegarder dans un fichier. aat au format WAV. Cependant, il apparaît que cette fonction n’est utilisée nulle part pour l’instant dans cette version », ajoute Dr Web.

Cependant, Dr Web n’a pas donné de détails concernant l’infection ni le vecteur…

 

Sources : Dr Web, Developpez.com

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (2 votes, note : 3,00 sur 5)
Loading...

Mots clés : , , , , , ,


Vos réactions
  1. Lionel

    Quelles sont les sources infectieuses? Ça peut-être un site web ou est-ce depuis une archive/mail? Comment s’en protéger?

  2. newsoftpclab

    Il y a une légende disant qu’il n’y avait pas de virus sous linux!

    • UnderNews UnderNews

      Et oui, tout comme sur Mac ! Mais on sait que c’est totalement faux depuis longtemps…





Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.