Linux/IRCbot / Spoofer.Midav : Malware pour Linux

Aujourd’hui en ouvrant mon Zoo à Malwares – Les petits animaux avaient faim et se sont mis à télécharger leurs pitances quotidiennes.
La commande lancée dans le cadre rouge a attiré mon attention puisque ce sont des commandes Linux qui ont d’ailleurs été lancées sur une machine Windows.

Revenons au malware, ci-dessous le contenu – le dossier .ICE-unix étant un dossier relatif à X-Windows pour y stocker des informations – ici l’infection imite ce répertoire avec UNIX en majuscule.

La détection est bonne : http://www.virustotal.com/file-scan/report.html?id=a4162dd3438d905fd207e97a4c033bd9a6130337ac4ffdf187b77a5bfc429fdf-1321012359

File name: malware_linux.tar.gz
Submission date: 2011-11-11 11:52:39 (UTC)
Current status: finished
Result: 30/ 43 (69.8%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.11.11.00	2011.11.11	-
AntiVir	7.11.17.132	2011.11.11	PERL/BBDoS.C
Antiy-AVL	2.0.3.7	2011.11.11	NetTool/Unix.Mech
Avast	6.0.1289.0	2011.11.11	VBS:Malware-gen
AVG	10.0.0.1190	2011.11.11	Linux/Slice.D
BitDefender	7.2	2011.11.11	Trojan.Script.9765
ClamAV	0.97.3.0	2011.11.11	Spoofer.Midav
Commtouch	5.3.2.6	2011.11.11	Unix/Prochide.A
Comodo	10745	2011.11.11	UnclassifiedMalware
DrWeb	5.0.2.03300	2011.11.11	Linux.Flooder.Bliz.4
Emsisoft	5.1.0.11	2011.11.11	Flooder.Linux.Raped!IK
eSafe	7.0.17.0	2011.11.10	HackTool.Linux.ProcH
F-Prot	4.6.5.141	2011.11.10	Unix/Prochide.A
F-Secure	9.0.16440.0	2011.11.11	Trojan.Script.9765
Fortinet	4.3.370.0	2011.11.11	W32/BBDoS.C!dos
GData	22	2011.11.11	Trojan.Script.9765
Ikarus	T3.1.1.109.0	2011.11.11	Flooder.Linux.Raped
K7AntiVirus	9.119.5433	2011.11.10	Riskware
Kaspersky	9.0.0.837	2011.11.11	DoS.Perl.BBDoS.c
McAfee	5.400.0.1158	2011.11.11	Linux/IRCbot
McAfee-GW-Edition	2010.1D	2011.11.11	Linux/Spoof-Vadim
Microsoft	1.7801	2011.11.11	DoS:Perl/UDPFlood.A
NOD32	6620	2011.11.11	probably a variant of Win32/Agent.GRRXQOP
Norman	6.07.13	2011.11.11	Suspicious_Gen2.DTHRR
Rising	23.83.01.01	2011.11.08	Hack.Spoofer.Linux.Midav.a
Symantec	20111.2.0.82	2011.11.11	Hacktool.UdpFlood
TrendMicro	9.500.0.1008	2011.11.11	HackingTools_Hide
TrendMicro-HouseCall	9.500.0.1008	2011.11.11	TROJ_Generic
VBA32	3.12.16.4	2011.11.10	DoS.Perl.BBDoS.c
VirusBuster	14.1.57.0	2011.11.10	Spoofer.Linux.Midav.A

MD5   : 967e191d124f0128fc7969e6d87c8288
SHA1  : 8c0af45dce4fbae0b3901a811a4999252fe742c9
SHA256: a4162dd3438d905fd207e97a4c033bd9a6130337ac4ffdf187b77a5bfc429fdf

Le fichier fuck vérifie que le malware n’est pas actif et le lance si ce n’est pas le cas (commande r).
r lance, à son tour, la commande s qui lance enfin la commande h ./h -s  « /usr/sbin/sshd » ./init
h est en fait le programme XHide qui permet de cacher ou lancer un programme sous un autre nom.

Ici donc, le but est de lancer le programme init sous le nom SSHD pour faire passer le programme init en SSHD.

init est donc la backdoor IRChttp://www.virustotal.com/file-scan/report.html?id=88cc820bafce9be130e34648eaf63a15469d8c237f0d6b22e089051e3a9b10e1-1321007471

File name: init
Submission date: 2011-11-11 10:31:11 (UTC)
Current status: finished
Result: 5/ 42 (11.9%)	VT Community

Print results  Antivirus	Version	Last Update	Result
Antiy-AVL	2.0.3.7	2011.11.10	NetTool/Unix.Mech
Comodo	10735	2011.11.10	UnclassifiedMalware
Kaspersky	9.0.0.837	2011.11.10	not-a-virus:NetTool.Unix.Mech.e
McAfee	5.400.0.1158	2011.11.10	Linux/IRCbot
McAfee-GW-Edition	2010.1D	2011.11.10	Linux/IRCbot

MD5   : f5b1420933dc0f210a2664e23a58c039
SHA1  : c34597af2f63be4214a1b63ca7915229e0578a93
SHA256: 88cc820bafce9be130e34648eaf63a15469d8c237f0d6b22e089051e3a9b10e1
XHide est détecté en Hacktool : http://www.virustotal.com/file-scan/report.html?id=45ed59d5b27d22567d91a65623d3b7f11726f55b497c383bc2d8d330e5e17161-1304428599
File name: xh
Submission date: 2011-05-03 13:16:39 (UTC)
Current status: finished
Result: 24 /41 (58.5%)	VT Community

Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.05.03.01	2011.05.03	-
AntiVir	7.11.7.120	2011.05.03	LINUX/Procfake
Antiy-AVL	2.0.3.7	2011.05.03	HackTool/Linux.ProcHider
Avast	4.8.1351.0	2011.05.03	ELF:Malware-gen
Avast5	5.0.677.0	2011.05.03	ELF:Malware-gen
BitDefender	7.2	2011.05.03	Linux.ProcHider.A
CAT-QuickHeal	11.00	2011.05.03	Linux.HackTool.ProcHider.a
Commtouch	5.3.2.6	2011.05.03	Unix/Prochide.A
Comodo	8567	2011.05.03	Application.Linux.HackTool.ProcHider.A
eSafe	7.0.17.0	2011.05.02	HackTool.Linux.ProcH
F-Prot	4.6.2.117	2011.05.02	Unix/Prochide.A
F-Secure	9.0.16440.0	2011.05.03	Linux.ProcHider.A
GData	22	2011.05.03	Linux.ProcHider.A
Ikarus	T3.1.1.103.0	2011.05.03	HackTool.Linux.ProcHider.a
Kaspersky	9.0.0.837	2011.05.03	HackTool.Linux.ProcHider.a
McAfee	5.400.0.1158	2011.05.03	Linux/Tool-XHide
McAfee-GW-Edition	2010.1D	2011.05.03	Linux/Tool-XHide
Microsoft	1.6802	2011.05.03	HackTool:Linux/Prochider.A
NOD32	6090	2011.05.03	Linux/HackTool.ProcHider.A
PCTools	7.0.3.5	2011.05.03	Hacktool.Generic
Rising	23.56.01.06	2011.05.03	Hack.Linux.ProcHider.b
Sophos	4.64.0	2011.05.03	Troj/XHide-A
SUPERAntiSpyware	4.40.0.1006	2011.05.03	-
Symantec	20101.3.2.89	2011.05.03	Hacktool
TrendMicro	9.200.0.1012	2011.05.03	HackingTools_HideProc
TrendMicro-HouseCall	9.200.0.1012	2011.05.03	HackingTools_HideProc
VBA32	3.12.16.0	2011.05.02	-

MD5   : 0d01bd11d1d3e7676613aacb109de55f
SHA1  : 317f1a5ac392476d32920eeba5d5d5539ea0be2b
SHA256: 45ed59d5b27d22567d91a65623d3b7f11726f55b497c383bc2d8d330e5e17161

Le lancement du malware :

netstat affiche la connexion à l’IRCd – le processus est bien affiché sous le nom SSHD, XHide fait bien son boulot :

La connexion à l’IRCd :

Clamav détecte les fichiers sans problèmes – j’ai aussi essayé Rkhunter avec le malware actif, cela ne donne aucun détection spécifique.


Dans mon cas le malware ne se relance pas au démarrage, je n’ai pas vu de modification qui permet de se relancer.
De plus, le répertoire /tmp est automatiquement vidé au démarrage.

Les autres binaires sont des utilitaires qui peuvent être lancées par le pirate, notamment il y a des outils réseaux, hacktools et  de DDoS :

http://www.virustotal.com/file-scan/report.html?id=e9715d2b9af3fea3a6fd5fe00304acd7ab2f3f389c9d0486059a45e7016798dc-1294973849

File name: b85a7130bbf77b4c237e0bf915f6ce672792e47e
Submission date: 2011-01-14 02:57:29 (UTC)
Current status: finished
Result: 13 /43 (30.2%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
AntiVir	7.11.1.122	2011.01.13	LINUX/Small.E
Antiy-AVL	2.0.3.7	2011.01.14	DoS/Linux.Small
Avast	4.8.1351.0	2011.01.13	ELF:Malware-gen
Avast5	5.0.677.0	2011.01.13	ELF:Malware-gen
Comodo	7383	2011.01.14	TrojWare.Linux.DDoS.Small.e
Emsisoft	5.1.0.1	2011.01.14	DoS.Linux.Small!IK
GData	21	2011.01.14	ELF:Malware-gen
Ikarus	T3.1.1.97.0	2011.01.14	DoS.Linux.Small
Kaspersky	7.0.0.125	2011.01.14	DoS.Linux.Small.e
NOD32	5785	2011.01.13	probably a variant of Win32/Agent.FCKOHVJ
Symantec	20101.3.0.103	2011.01.14	Trojan Horse
VIPRE	8066	2011.01.14	DoS.Linux.Small.e (v)

MD5   : 6cbde448e8dcdb36521f275afa5a978d
SHA1  : b85a7130bbf77b4c237e0bf915f6ce672792e47e
SHA256: e9715d2b9af3fea3a6fd5fe00304acd7ab2f3f389c9d0486059a45e7016798dc

~~

http://www.virustotal.com/file-scan/report.html?id=d0e85625d7a0f2a64fa1c06965f8e0fbbfaa382013f3e636cded0b3c541bea61-1316627007

File name: b
Submission date: 2011-09-21 17:43:27 (UTC)
Current status: finished
Result: 13 /44 (29.5%)	VT Community

AntiVir	7.11.15.3	2011.09.21	LINUX/Flooder.Y
Avast	4.8.1351.0	2011.09.18	ELF:Malware-gen
Avast5	5.0.677.0	2011.09.18	ELF:Malware-gen
Comodo	10193	2011.09.21	TrojWare.Linux.Flooder.Small.y
Emsisoft	5.1.0.11	2011.09.21	Flooder.Linux.Small!IK
Ikarus	T3.1.1.107.0	2011.09.21	Flooder.Linux.Small
Kaspersky	9.0.0.837	2011.09.21	Flooder.Linux.Small.y
NOD32	6482	2011.09.21	probably a variant of Win32/Agent.CEAIJAA
Sophos	4.69.0	2011.09.21	Linux/Flood-IU
Symantec	20111.2.0.82	2011.09.21	Trojan Horse
VIPRE	10544	2011.09.21	Flooder.Linux.Small.y (v)

MD5   : 0453ae2cac43ee1da908ca414c3e31e4
SHA1  : 67ccc3866b13d10f5f7106b7580b7cbc8dc8a470
SHA256: d0e85625d7a0f2a64fa1c06965f8e0fbbfaa382013f3e636cded0b3c541bea61

Sur le FTP (LUKA-NETCONSUL – DE) en question, pas mal de merdes…

ici par exemple un script PHP qui permet d’envoyer des mails malicieux :


Ici un script python qui permet de faire du Bruteforce à la recherche de vulnérabilité sur l’interface Plesk.

un autre scanners qui permet de faire du BruteForce SSH :

Conclusion

Rien de bien différent du monde Windows, avec un malware qui tente de se faire passer pour un programme légitime (SSH), les bots sur Windows faisant pareils en reprenant souvent les processus systèmes (winlogon.exe, services.exe etc). Une lecture attentive de netstat permet de voir les connexions anormales.

Les détections sont relativement bonnes, certainement que les mises à jour de ces malwares sont moins fréquentes pour échapper aux détections, de plus, ils s’appuient sur des hacktools qui sont aussi assez bien détectés.
Ces malwares visant principalement des serveurs qui sont souvent dépourvus d’antivirus.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 39 times, 1 visits today)

3 thoughts on “Linux/IRCbot / Spoofer.Midav : Malware pour Linux

  1. Salut,

    Oui et non, y en a toujours eux un peu.. doit y en avoir un peu de plus de 5000 qui sont pas renouvelés tous les jours.
    Plus pour les serveurs les scripts multi-plateformes PHP, PERL ou Python.

    Mais tu peux toujours surfer sans antivirus, perso, c’est le cas pour moi et rien.
    T’as quand même pas des exploits, des sites avec de faux codecs etc, à chaque coin de clic comme pour Windows.

  2. « Mais tu peux toujours surfer sans antivirus, perso, c’est le cas pour moi et rien. »

    Sous windows aussi tu peux très bien vivre sans antimachin, j’ai jamais eu aucun soft de protection depuis XP, et ma seule infection a été le blaster en 2004^^
    Par contre pour les novices…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *