le 20 novembre 2014

Les spécialistes de Doctor Web ont terminé l'analyse du Trojan ciblant Linux. Ce logiciel malveillant, ajouté à la base virale sous le nom Linux.BackDoor.Fgt.1, est conçu pour lancer des attaques DDoS.

Après son lancement sur l'appareil infecté, le Trojan Linux.BackDoor.Fgt.1 vérifie la présence d’une connexion Internet, s'adresse à l'un des services Google et en cas de succès, détermine l'adresse IP et Mac de l'appareil infecté. Puis Linux.BackDoor.Fgt.1 essaie de communiquer avec le serveur de gestion, dont l'adresse se trouve dans son corps, pour lui envoyer sa version. En réponse, il attend un bloc de données contenant une commande. Si le Trojan reçoit la commande PING, il envoie la réponse PONG et continue à agirsur l'appareil infecté. S’il reçoit la commande DUP, il cesse de fonctionner.

Le Trojan peut scanner pendant un cycle 256 adresses IP sélectionnées au hasard. Le cycle est lancé sur commande des malfaiteurs. Lors de la génération des adresses IP, Linux.BackDoor.Fgt.1 vérifie si elles sont incluses aux plages utilisées pour l'adressage dans les réseaux locaux - ces adresses sont ignorées. En cas d'échec lors de la tentative d'établir une connexion avec une adresse IP, Linux.BackDoor.Fgt.1 envoie l'info au serveur de gestion. Si la connexion est établie, le logiciel malveillant essaie d'accéder au port de l'hôte distant utilisé par le service Telnet, et d'obtenir de la machine attaquée la requête du login. Après avoir envoyé à l'hôte distant le login de la liste préformée de logins probables, Linux.BackDoor.Fgt.1 examine les réponses reçues. Si, parmi les réponses, il y a une requête pour entrer un mot de passe, le Trojan essaie de s’authentifier par force brute. S’il y parvient, Linux.BackDoor.Fgt.1 envoie sur le serveur de gestion l'adresse IP, le login et le mot de passe de l'appareil duquel il a réussi à obtenir les données d'authentification et envoie à l'adresse cible la commande pour télécharger un script spécial. Ce dernier télécharge à son tour et lance sur la machine piratée le fichier exécutable du Trojan Linux.BackDoor.Fgt.1. Il est à noter que le serveur de gestion possède des fichiers exécutables du Linux.BackDoor.Fgt.1 conçus pour différentes versions et packages d'installation Linux, y compris pour les systèmes embarqués avec l'architecture MIPS et serveurs SPARC. Ainsi, le Trojan peut infecter non seulement les serveurs et les postes de travail sous Linux connectés à Internet, mais également les routeurs.

Linux.BackDoor.Fgt.1&lng=fr">Linux.BackDoor.Fgt.1 peut exécuter les commandes suivantes :

• Envoyer une requête pour obtenir l'adresse IP de l'appareil infecté ;
• Lancer ou arrêter le cycle de scan ;
• lancer une attaque DNS Amplification de l'hôte spécifié ;
• lancer une attaque UDP Flood de l'hôte spécifié ;
• lancer une attaque SYN Flood de l'hôte spécifié ;
• arrêter des attaques DDoS ;
• arrêter l’activité du Trojan.

La signature de ce malware a été ajoutée aux bases virales Dr.Web, c'est pourquoi le Linux.BackDoor.Fgt.1 ne représente aucun danger pour les utilisateurs des logiciels antivirus Dr.Web.