Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Linux.Ellipsis.1

Added to the Dr.Web virus database: 2015-09-10

Virus description added:

SHA1:

  • dc4229d5fb4ee05ad2f7643e57a5d5796e43e8c8 (unpacked)
  • 29d053a4ed228630904538cfb859d7ad54281161 (packed)

Logiciel malveillant conçu pour lancer un serveur proxy sur l'ordinateur infecté. Se propage en piratant l'ordinateur par force brute via SSH.

Il peut recevoir les arguments entrants suivants :

  • --lport - le port local utilisé pour le proxy ;
  • --laddr - l'adresse locale utilisée pour proxy ;
  • --cport - le port du serveur de gestion ;
  • --caddr – l'adresse IP du serveur de gestion ;
  • --debug - pas utilisé ;
  • --timeout - time out pour les requêtes ;
  • --ident - le paramètre ident pour la fonction standard syslog ;
  • --name – la même chose que ident ;
  • --syslog – activer l'enregistrement de données dans les logs système ;
  • --transproxy - lancer SOCKS-proxy sur la machine infectée ;
  • --secret - si ce paramètre est spécifié, le Trojan supprime son fichier original et crée sa copie dans le répertoire " /etc/tirqd " ;
  • --noweb - ne pas supporter le trafic HTTP ;
  • --anti - activer le mode " paranoid " ;
  • --pretimeout – la même chose que timeout ;
  • --udp – l'adresse IP du serveur de gestion (les données seront envoyées par un moyen différent de caddr) ;
  • --killer – « tuer » les processus lors de l'accès à certaines adresses ;
  • --badcn – liste des adresses à bloquer ;
  • --yaban - n'est pas utilisé.

Après son lancement, le Trojan supprime son répertoire de fichiers ("/tmp/.../") et efface les règles définies pour iptables. Puis il essaie d'arrêter certaines applications chargées de l'analyse et de l’enregistrement des logs, ainsi que de l'analyse du trafic :

killall syslogd rsyslogd syslog syslog-ng named dnscache dnsmasq tcpdump
killall -9 syslogd rsyslogd syslog syslog-ng named dnscache dnsmasq tcpdump
kill -9 `pidof syslogd rsyslogd syslog syslog-ng named dnscache dnsmasq tcpdump`

Ensuite, il supprime les fichiers de logs par le masque "/var/log/*" et "/disk/*log*". A leur place, afin d'empêcher la création de répertoires et fichiers avec les mêmes noms, il crée les répertoires suivants :

mkdir /var/log/all.log /var/log/auth.log /var/log/messages /var/log/secure /var/log/everything.log /var/log/messages.log /disk/all.log /disk/auth.log /disk/messages /disk/secure /disk/everything.log /disk/messages.log

A l'étape suivante, le Trojan modifie le fichier de configuration "/etc/coyote/coyote.conf" en ajoutant la ligne :

alias passwd=cat\n

Il supprime également les utilitaires systèmes des répertoires /bin/, /sbin/, /usr/bin/ :

  • passwd
  • chattr
  • lsattr
  • tcpdump
  • wget
  • netstat
  • pstree
  • strace
  • curl
  • lsof
  • reboot
  • shutdown
  • poweroff
  • halt

Il coche la case " immuable " (immutable) pour les fichiers suivants :

  • /usr/sbin/iptables
  • /sbin/iptables
  • /etc/shadow
  • /etc/passwd
  • /bin/ps
  • /bin/grep

Si le Trojan reçoit la liste des adresses via l'argument " badcn ", ces adresses seront bloquées, ainsi que celles incluses aux trois listes intégrées au corps du Trojan. Par blocage, on entend l'impossibilité de recevoir ou d’envoyer des paquets de données de/à l'adresse IP d'après le port ou le protocole en définissant des règles iptables. Pour les deux premières listes des paquets TCP et ICMP sont bloqués, pour la troisième - tous les paquets.

Pour chaque adresse IP ou plage de IP, le Trojan crée le fichier approprié dans le répertoire du Trojan avec l'extension ".filtered".

Pour exécuter la fonctionnalité de serveur proxy, le Trojan ouvre le port défini et contrôle la connexion selon l'adresse locale spécifiée laddr:lport ou, si le laddr n'est pas défini, 0.0.0.0:lport.

Si le Trojan reçoit l'argument "noweb", il analyse le trafic et recherche les lignes dans les paquets :

Accept-Language: 
User-Agent: Mozilla/

Puis les remplace par

Client: %08X

où au lieu de %08X, l'adresse IP du serveur de gestion est placée en représentation hex. La ligne

?ip=12345678for

est remplacée par

?ip=%08Xfor

où au lieu de %08X, l'adresse IP du serveur de gestion est également placée en représentation hex.

Si le Trojan reçoit l'argument " anti " et " lport " avec la valeur " 80 ", il recherche dans les paquets la ligne " Location : http:// " et en cas de détection, le Trojan crée un fichier vide avec le nom " /tmp/.../ip.good ", où ip est l'adresse IP formée spécialement par le Trojan. Algorithme de génération :

rndnum = Rnd() % 25 + 97;
ip_a ^= rndnum ^ 5;
ip_b ^= rndnum ^ 8;
ip_c ^= rndnum ^ 10;
ip_d ^= rndnum ^ 3;
sscanf(dword_807A728, "%d.%d.%d.%d", &ip_a, &ip_b, &ip_c, &ip_d);

De plus, si le paramètre " lport " possède la valeur 80 ou 8080, le Trojan recherche dans les paquets des lignes " PHP//apsession/ ", en cas de détection il ajoute au paquet la ligne suivante :

snprintf(&phpapsession, 10, "%c%02x%02x%02x%02x", rndnum, ip_a, ip_b, ip_c, ip_d);

Le Trojan comprend une liste de lignes dont la présence dans le trafic réseau prévoit le blocage de l'échange de données entre le serveur distant et le PC de la victime via une adresse IP :

kproxy.com
Mozilla/5.0 (compatible; coccoc/1.0; +http://help.coccoc.com/)
Mozilla/5.0 (compatible; LinkpadBot/1.06; +http://www.linkpad.ru)
Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0); 360Spider
Mozilla/5.0 (compatible; oBot/2.3.1; +http://filterdb.iss.net/crawler/)
Mozilla/5.0 (compatible; spbot/4.0.9; +http://OpenLinkProfiler.org/bot )
Mozilla/5.0 (compatible; spbot/4.1.0; +http://OpenLinkProfiler.org/bot )
Mozilla/5.0 (compatible; SputnikBot/2.3)
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1; 360Spider
Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.0.13) Gecko/2009073022 Firefox/3.5.2 (.NET CLR 3.5.30729) SurveyBot/2.3 (DomainTools)
Mozilla/5.0 (Windows; Crawler; U; Windows NT 6.0; en-US; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7 (.NET CLR 3.5.30729)
Hellocoton.fr
nutch-1.4/Nutch-1.4
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; InfoPath.2; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E)
Mozilla/4.0 (Windows 98; US) Opera 10.00 [en]
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10
Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7
Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.1.249.1025 Safari/532.5
Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.16
SurveyBot
DomainTools
SV1; InfoPath.2; .NET CLR 2.0.50727
Chrome/4.1.249.1025
YandexBot
SpeedTestSpeedTest
ooglebot
panscient.com
Yahoo! Slurp;
spamspamspam
slowhttptest
ihatespammers
nospam.html
SpamBlocker
Hendas HTTP
/?stopspamme
/?injection
User-Agent: Java
../../..
djbghklmxtvwtyafzchcm
eghijkacfm.herathle
Wget
SPAMMING
stop_spaming_me
GET /10.php HTTP
GET /20.php HTTP
GET /30.php HTTP
GET /40.php HTTP
odfnh.brahfuwzu
lylvueleb
impulse-m.
dnikoydle
gisro.a
goodcarecard.a

Le contenu du fichier " /etc/badwords " est également ajouté à cette liste. La liste de ces lignes comporte également une partie variable qui dépend du contenu du paquet entrant :

  • Si l'en-tête HTTP contient la ligne :
    User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
    les valeurs suivantes seront ajoutées à la black liste:
    eapmygev.
    ascuviej.
  • Si les champs suivants sont spécifiés :
    Accept: */*\nAccept-language: en-us\n
    ou bien il y a une ligne :
    xonfavhowl
    dans ce cas, la ligne suivante sera ajoutée à la black liste:
    GET /index.php HTTP
  • Si le champ suivant est spécifié :
    Accept-Language: en-US
    Et le champ " Referer " n'est pas présent, et le champ GET comprend une des lignes de la :
    GET /products/ HTTP
    GET /cart/ HTTP
    GET / HTTP
    dans ce cas, la valeur suivante sera ajoutée à la black liste:
    Accept: */*
  • Si le fichier avec l'extension .gif ou .jpg est demandé, la black liste recevra les lignes :
    _ HTTP
    spammer
    CONTACTING_US
  • Si le champ suivant est spécifié :
    Accept:
    dans ce cas, la ligne suivante sera ajoutée à la black liste:
    sssid=

De plus, Linux.Ellipsis.1 utilise une liste de mots suspects et à ignorer, dans laquelle le contenu du fichier " /etc/ignorewords " sera ajouté.

Il vérifie également toutes les connexions réseau de l'ordinateur et envoie au serveur de gestion l'adresse IP du nœud avec lequel la connexion est établie. Si le serveur répond par la commande " kill ", le Trojan arrête l'application qui a établi cette connexion et bloque cette adresse IP à l'aide d'iptables. Dans son répertoire, Linux.Ellipsis.1 crée le fichier " ip.filtered ", où il indique l'adresse IP bloquée à la place de " ip ". Le Trojan effectue la même vérification pour les processus ayant la ligne " sshd ". Les adresses IP de la liste sont bloquées à jamais. Par ailleurs, un des processus du Trojan vérifie le contenu de son répertoire toutes les 30 minutes et recherche les fichiers créés plus de 2 heures auparavant dont les noms commencent par une adresse IP, puis les supprime ainsi que la règle correspondante dans le tableau iptables.

News sur cette menace

Recommandations pour le traitement


Linux

Veuillez lancer le scan complet de toutes les partitions du disque à l'aide de Dr.Web Antivirus pour Linux.

Version démo gratuite

Pour 1 mois (sans enregistrement) ou 3 mois (avec enregistrement et remise pour le renouvellement)

Télécharger Dr.Web

Par le numéro de série