jeudi 13 août 2020
Promotion Meilleur VPN 2020
Accueil Malwares Un Trojan miner ciblant Linux, cherche à supprimer les processus des antivirus

Un Trojan miner ciblant Linux, cherche à supprimer les processus des antivirus

Le mining de cryptomonnaies est dans l’air du temps et notamment dans le milieu de la cybercriminalité dont l’objectif est d’exploiter les ressources d’un ordinateur à l’insu de son propriétaire. Doctor Web a récemment détecté un Trojan miner capable de contaminer des périphériques sous Linux. Ce malware peut infecter les autres périphériques réseau et supprimer les processus des antivirus qui tournent dans le système.

Le Trojan ajouté aux bases Dr.Web sous le nom de Linux.BtcMine.174 est un script écrit en langage shell sh et contenant plus de 1000 lignes de code. Ce programme malveillant inclut plusieurs composants : à son lancement, le Trojan vérifie l’accessibilité du serveur depuis lequel il télécharge ultérieurement d’autres modules et cherche sur le disque un dossier ayant les droits en écriture vers lequel il télécharge plus tard ces modules. Puis le script est déplacé vers un dossier précédemment préparé avec le nom diskmanagerd et il démarre de nouveau en tant que daemon. Pour ce faire, le Trojan exploite l’utilitaire nohup. Si l’utilitaire n’est pas présent dans le système, le Trojan télécharge lui-même et installe-le package d’utilitaires coreutils contenant entre autres l’utilitaire nohup.

Si l’installation réussit, le script malveillant télécharge une des versions du TrojanLinux.BackDoor.Gates.9.  Les backdoors de cette famille permettent d’exécuter les commandes envoyées par les pirates et de mener des attaques DDoS.

Après son installation dans l’OS, Linux.BtcMine.174 cherche des miners concurrents et s’il en trouve, il arrête leurs processus. Si Linux.BtcMine.174 n’a pas été lancé au nom du superutilisateur (root), il utilise un jeu d’exploits pour élever ses privilèges dans l’OS contaminé.  Les analystes de Doctor Web ont révélé au moins deux exploits utilisés par Linux.BtcMine.174 : ce sont Linux.Exploit.CVE-2016-5195 (également connu sous le nom de DirtyCow) et Linux.Exploit.CVE-2013-2094. Il est à noter que les originaux de DirtyCow téléchargés sur Internet sont compilés par le Trojan directement sur la machine contaminée.

Puis le programme malveillant essaie de trouver des services de logiciels antivirus fonctionnant sur la machine et ayant les noms safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, mdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets et xmirrord. S’il en détecte, le Trojan non seulement supprime le processus de l’antivirus, mais il utilise des gestionnaires de paquets pour supprimer ses fichiers et le dossier dans lequel l’antivirus a été installé.

Ensuite Linux.BtcMine.174  s’enregistre dans l’auto-démarrage, puis télécharge et lance sur le périphérique contaminé un rootkit.  Ce module est également réalisé en tant que scénario sh et se base sur un code source publié en accès libre. Parmi les fonctions du module rootkit, citons le vol de mots de passe utilisés pour la commande « su », la dissimulation de fichiers dans le système de fichier, des connexions réseau et des processus lancés. Le Trojan collecte des informations sur les ordinateurs en réseau précédemment connectés via le protocole SSH et il tente de les infecter.

Après avoir terminé ces étapes, Linux. BtcMine.174 lance dans le système un miner conçu pour l’extraction de crytpomonnaie Monero (XRM). Chaque minute, le Trojan vérifie si le miner est lancé et il le relance si nécessaire. Il connecte également en permanence le serveur de contrôle depuis lequel il télécharge les mises à jour disponibles.

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Ransomware Maze : Après LG et Xerox, au tour de Canon d’être piégé

Le groupe de cybercriminels exploitant le ransomware Maze poursuit ses actions et agrandit son tableau de chasse en ajoutant Canon avec à la clé un vol de 10 To de données à l'entreprise après infection de ses systèmes informatiques.

400 vulnérabilités pourraient transformer 3 milliards de téléphones Android en espions

L'alerte est donnée : il existe plus de 400 vulnérabilités sur la puce Snapdragon de Qualcomm qui peuvent être exploitées sans l'intervention des propriétaires, explique Slava Makkaveev de Check Point.

Le gouvernement américain met en garde contre une nouvelle souche du virus chinois “Taidoor”

Les agences de renseignement américaines ont publié des informations sur une nouvelle variante du virus informatique vieux de 12 ans utilisé par les pirates informatiques parrainés par l'État chinois et ciblant les gouvernements, les entreprises et les groupes de réflexion.

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.