Kaspersky vient de découvrir un virus multiplate-forme opérant depuis 2007 sur Windows, Mac OS X, Linux, iOS et Android.
Voici une description sommaire en anglais de la découverte de « Caretto », de son nom originel.
Maintenant, ça serait bien si on pouvait connaître la faille Linux permettant à ce type de virus d'exister.
# Mauvais lien
Posté par vlamy (site web personnel) . Évalué à 3.
Le bon est ici.
[^] # Re: Mauvais lien
Posté par Jiehong (site web personnel) . Évalué à 2.
Un modo peut corriger mon lien ? :)
[^] # Re: Mauvais lien
Posté par ʭ ☯ . Évalué à 4.
Pas d'antivirus Linux, pas de virus?
⚓ À g'Auch TOUTE! http://afdgauch.online.fr
[^] # Re: Mauvais lien
Posté par ekyo . Évalué à 7. Dernière modification le 14 février 2014 à 14:02.
Pas vraiment, ils n'ont pas trouvé de trace du malware sur un linux, mais une version semble exister d'après après analyse des serveurs C&C (les serveurs de contrôle du malware) qui n'avaient pas encore été wipés.
cf l'article de kaspersky :
Some of the exploit server paths contain modules that appear to have been designed to infect Linux computers, but we have not yet located the Linux backdoor.
Idem pour les version iOS et Android (user agent pour ces OS dans les logs).
[^] # Re: Mauvais lien
Posté par bubar🦥 (Mastodon) . Évalué à 10.
Bonsoir,
Et Kaspersky détaille le mode d'infection sur linux : un xpi au travers d'un firefox (qui serait lancé en root, en ayant désactivé l'option par défaut "avertir qu'un site souhaite installer une extension".
Perso j'ai cliquer partout sur les dit-sites, j'ai insisté à fond, pas moyen de choper quoi que ce soit.
Encore du FUD à destination des gens qui ne lisent pas les docs, mais qui ont le pouvoir de faire dépenser des milliers d'euros en antivirus pour linux, sans même avoir exigés de leur sysadmin la connaissance basique de pam.
[^] # Re: Mauvais lien
Posté par Marotte ⛧ . Évalué à 6.
On sent bien la déception :)
Perso le seul virus que je me suis chopé sous GNU/Linux c'est un .exe qui m'a pourri mon installation de wine. Assez facile à dégager du coup. Le pire c'est que je savais que ce binaire craignait (il s'agissait d'un programme sensé permettre de cracker un mot de passe de document MS-Office), que j'aurais
pudu passer un coup de ClamAV dessus avant de le lancer, mais non, super-faignant en action j'ai fait YOLO :)[^] # Re: Mauvais lien
Posté par kursus_hc . Évalué à 3.
Je suis du même avis, et justement je suis étonné que l'annonce fasse grand bruit quand cette grosse tentative d'arnaque n'en fait aucun (même sur les sites techniques). As-tu trouvé des articles sur le sujet ?
[^] # Re: Mauvais lien
Posté par bubar🦥 (Mastodon) . Évalué à 3.
Non car je n'ai pas cherché plus loin que le descriptif de Kaspersky (et des sites cités), qui semble relativement honnête en comparaison du fatra de fud des sites "d'informations".
# synthèse PCInpact
Posté par ZeroHeure . Évalué à 7. Dernière modification le 14 février 2014 à 14:07.
Lisez donc cet article de synthèse de PC Inpact, avant de vous affoler comme ça
http://www.pcinpact.com/news/85855-mask-campagne-piratage-plus-evoluee-a-ce-jour-selon-kaspersky.htm
Ce n'est pas un virus aveugle. Mais une campagne de piratage, très orchestrée, qui a duré 5 ans et ne concernait que des ordinateurs précis (environ 400 postes de travail) répartis sur plusieurs pays.
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
[^] # Re: synthèse PCInpact
Posté par ekyo . Évalué à 3.
Tout à fait, c'est probablement une campagne orchestrée par un/des état(s), on se rapproche d'après les premières analyses d'un framework modulaire à tout faire comme on a pu le voir l'année dernière avec les flame etc
J'ajouterai juste que le nombre d'infections que tu reprends est certainement très en dessous de la réalité : ce chiffre est obtenu via analyse des flux et des logs des C&C connus, or ils ne le sont pas tous.
# Fichiers ciblés
Posté par xseticon . Évalué à 2.
La liste des fichiers que l'attaque cible est d'après le lien la suivante :
*.AKF,*.ASC,*.AXX,*.CFD,*.CFE,*.CRT,*.DOC,*.DOCX,*.EML,*.ENC,*.GMG,*.GPG,*.HSE,*.KEY,*.M15,*.M2F,*.M2O,*.M2R,*.MLS,*.OCFS,*.OCU,*.ODS,*.ODT,*.OVPN,*.P7C,*.P7M,
*.P7Z,*.PAB,*.PDF,*.PGP,*.PKR,*.PPK,*.PSW,*.PXL,*.RDP,*.RTF,*.SDC,*.SDW,*.SKR,
*.SSH,*.SXC,*.SXW,*.VSD,*.WAB,*.WPD,*.WPS,*.WRD,*.XLS,*.XLSX
Ce qui est étonnant, c'est qu'il n'y a pas de .txt ni de .csv mais tous les formats de traitement de texte et de tableur + du microsoft visio (alors qu'ils ne visent pas les .svg). Ceci dit, la liste de Kaspersky n'est peut-être pas complète.
# facile
Posté par Albert_ . Évalué à 8.
si on pouvait connaître la faille Linux permettant à ce type de virus d'exister.
Hyper connu: interface chaise clavier.
[^] # Re: facile
Posté par Kioob (site web personnel) . Évalué à 3.
En même temps, un grand nombre de téléphones Android sont «rootable» en exploitant une faille kernel non ? Simplement parce que les noyaux sont rarement mis à jour.
Ou bien je me fourvoie ?
alf.life
[^] # Re: facile
Posté par Renault (site web personnel) . Évalué à 2. Dernière modification le 15 février 2014 à 13:36.
Non ce n'est pas comme ça.
Normalement les portes d'entrées pour rooter un androphone sont volontaires bien que certains constructeurs commencent à y mettre fin apparemment.
Cela est de mémoire plus lié au chargeur de démarrage que le noyau Linux derrière.
EDIT : par contre pour les hacks type iPhone, consoles de jeux ou autres, c'est lié à des failles involontaires oui.
[^] # Re: facile
Posté par Tonton Benoit . Évalué à 2.
J'ai déjà vu des rootage par "élévation des privilèges", mais faille noyau ou android ou userspace, aucune idée.
Maintenant le root ça se fait plutôt plus simplement en activant le mode développeur pour balancer ce qu'on veut dans la rom via adb.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.