Accueil / High-Tech / Windigo, un malware sous Linux et Unix

Windigo, un malware sous Linux et Unix

Windigo, un malware sous Linux et Unix

Une équipe de chercheurs en sécurité d'ESET en collaboration avec des allemands du CERT-Bund et des suédois du SNIC ont mis en évidence une attaque portant sur 25 000 serveurs UNIX et Linux depuis 3 ans au moins. Baptisé Windigo en référence à Wendigo, une créature maléfique et cannibale du folklore d'indiens d'Amérique, ce malware se présente sous la forme d'un cheval de Troie

Plus de 35 millions de pourriels seraient envoyés chaque jour à d'innocents utilisateurs menaçant ainsi la sécurité de leur ordinateur. D'autre part, chaque jour, plus d'un demi-million d'ordinateurs sont menacés par la visite d'un site Internet dont le serveur est infecté. L'internaute est alors redirigé vers des malwares ou de la pub.
La particularité de cette infection, outre d'être installé sur des serveurs UNIX ou Linux est qu'elle ne réagit pas de la même manière pour un ordinateur sous Windows visitant un site infecté, ou un Mac, ou bien encore un iPhoine. Sous Windows, Windigo, tente d'installer un malware via un kit d'« exploit ». Pour les utilisateurs sous MAC OS, Windigo affiche des pubs de sites de rencontres et les possesseurs d'iPhone sont redirigés vers des contenus pornographiques.
Ce malware s'appuie sur une porte dérobée Linux/Ebury OpenSSH se combinant avec d'autres malwares
Windigo se composerait de trois composantes principales qui sont :
- Linux/Ebury - une backdoor dans OpenSSH qui permet de conserver le contrôle et de voler des identifiants,
- Linux/Cdorked - une backdoor HTTP de redirection du trafic web,
- Perl/Calfbot - un script Perl utilisé pour générer du spam.

Les chercheurs d'ESET recommande aux administrateurs systèmes sous UNIX et aux webmasters d'exécuter la ligne de commande suivante afin de vérifier l'intégrité de leur système :
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Ce document intitulé « http://www.commentcamarche.net/news/5864246-windigo-un-malware-sous-linux-et-unix » issu de CommentCaMarche.net http://www.commentcamarche.net/ est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.