Linux, ciblé par un malware encore expérimental

La semaine dernière, un internaute a publié sur la liste du Full Disclosure un rootkit dont la vocation est de prendre pour cible des serveurs Web Linux 64-bit.

La semaine dernière, un internaute a publié sur la liste du Full Disclosure un rootkit dont la vocation est de prendre pour cible des serveurs Web Linux 64-bit.

Analysé par Kaspersky, ce malware serait encore au stade expérimental et comporterait encore du code non finalisé. Mais, indique Kaspersky, ce malware se distinguerait notamment par un modus operandi sophistiqué, qui infecterait les sites Web hébergés sur les serveurs Linux contaminé afin d'accélérer sa propagation. Le malware fonctionne ainsi sur un principe innovant du drive-by-download, explique Kaspersky et base son attaque sur une injection d’iFrame, invisible. En gros, le serveur infecté injecte à la page Web servie une IFrame qui renferme du contenu infecté. L’attaque serait également active pour les pages d’erreurs. Selon l’éditeur de sécurité, ce rootkit, baptisé 'Rootkit.Linux.Snakso.a’, cible toutefois une version précise du noyau Linux 2.6.32-5-amd64, embarqué justement dans la version Squeezy de Debian. Enfin, il essaie de cacher sa propre activité, note également Kaspersky.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close