Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Linux.BackDoor.Dklkt.1

Added to the Dr.Web virus database: 2015-07-10

Virus description added:

SHA1: bd24972a8e34bbd2e7f3b58d6d7fd1a94efa7355

Trojan-backdoor ciblant Linux sensé exécuter plusieurs fonctions malveillantes (serveur SOCKS proxy, remote shell, gestionnaire du système de fichiers) mais dont plusieurs ne sont actuellement pas opérationnelles. Nom interne du Trojan : "DDoS Attacker for Gh0st(sweet version 1.0)".

Il faut noter que les composants et les fichiers exécutables du Trojan sont compatibles avec les architectures Linux et Windows. Lors de son lancement, le backdoor vérifie la présence dans son dossier du fichier de configuration qui comprend les paramètres suivants :

'remote_host'
'remote_port'
'remote_host2'
'remote_port2'
'remote_host3'
'remote_port3'
'ServiceDllName'
'm_enable_http'
'HttpAddress'
'szGroup'
'blDelMe'
'SelfDelete'
'Config'
'PassWord'
'Remark'
'Version'

ou 'Config' – est le chemin vers le fichier de configuration (dans Linux)ou bien vers la branche du registre où les données de configuration sont stockées (dans Windows). Ce fichier de configuration inclut trois adresses de serveurs de gestion, mais le Trojan en utilise une seule afin de conserver les autres en réserve. Le fichier de configuration est crypté en Base64. Linux.BackDoor.Dklkt.1 essaie de s'enregistrer sur l'ordinateur attaqué en tant que daemon (service système). En cas d'échec, il s'arrête.

Après son lancement, le logiciel malveillant prépare un paquet avec les données sur le système infecté et les paramètres du backdoor (toutes les lignes utilisent l'encodage unicode) et l'envoie au serveur de gestion :

<ComputerName>|<OSVersion>|<CpuCores> *
<CpuClock>MHz|Total:<MemTotal>MB,Avail:<MemFree>MB|<sysuptime_days>d
<sysuptime_hours>h <sysuptime_minutes>m <sysuptime_seconds>s|
<self_ip>|<external_ip>|<ConnectionTime>
ms|0|<Remark>|<Group>|<Password>|<Version>|0|0|1|\x00

Les paramètres Remark, Group, Password, Version sont empruntés au fichier de configuration, les trois dernières valeurs sont permanentes, les autres représentent les données sur le système infecté. Le trafic de données est compressé par l'algorithme LZO et crypté par l'algorithme Blowfish. Outre le nombre de chiffres nécessaire pour l'identification proprement dite, ce numéro doit contenir une somme de contrôle CRC32 basée sur ces chiffres à des fins de contrôle d'intégrité.

Après l'envoi du paquet, le Trojan passe en mode veille pour attendre des commandes :

CommandeКомментарий
Paquet de bienvenueIgnoré
Effectuer la mise à jourIgnoré
Modifier le groupeRemplace la valeur du paramètre Groupe dans le fichier de configuration par la valeur reçue dans la commande
Modifier RemarkRemplace la valeur du paramètre Groupe dans le fichier de configuration par la valeur reçue dans la commande
Démarrer shellLance l'interpréteur de commandes et redirige les flux Entrée/Sortie vers le serveur de gestion
Ouvrir le gestionnaire du système de fichiersIgnoré
Ouvrir le gestionnaire de DDoSIgnoré
Recevoir les données utilisateurIgnoré
Se supprimerIgnoré
Rompre la communication avec le serveur de gestionIgnoré
QuitterExécute la commande system ("exit")
RedémarrageExécute la commande system ("reboot")
Arrêt de l'ordinateur.Exécute la commande system ("poweroff")
Effacer le log des événementsIgnoré
Lancer une attaque DDoS
Lancer l'applicationL'application est indiquée dans la commande reçue
Lancer proxyLance sur la machine infectée un SOCKS proxy

Le Trojan peut lancer des attaques DDoS de types suivants :

  • SYN Flood
  • HTTP Flood (requêtes POST/GET)
  • Drv Flood (pas réalisé)
  • ICMP Flood
  • TCP Flood
  • UDP Flood

News sur cette menace

Recommandations pour le traitement


Linux

Veuillez lancer le scan complet de toutes les partitions du disque à l'aide de Dr.Web Antivirus pour Linux.

Version démo gratuite

Pour 1 mois (sans enregistrement) ou 3 mois (avec enregistrement et remise pour le renouvellement)

Télécharger Dr.Web

Par le numéro de série