Previous Story
Logiciel malveillant : Un malware Linux qui vous prend en photo
Un nouveau logiciel malveillant à destination des utilisateurs de Linux fait des photos toutes les 30 secondes de l’écran.
La capture écran pour un logiciel malveillant, c’est un peu comme un poisson dans l’eau, c’est vieux comme le monde. Dr.Web vient de mettre la main sur un nouveau malware Linux qui, une fois dans l’ordinateur infiltré, prend une photo de l’écran toutes les 30 secondes. Des images envoyées aux pirates au format JPG ou BMP (bonjour la taille !).
L’idée du malveillant et de récupérer rapidement de potentielles données sensibles affichées à l’écran. A noter que l’outil malveillant est capable de lancer des attaques DDoS et d’enregistrer les sons qu’il intercepte via un micro branché. Des sons qu’il enregistre en .wav. Bref, l’outil n’a pas peur du poids de ses fichiers ! L’éditeur d’antivirus a baptisé ce trojan sous le nom de Linux.Ekoms.1. Il va se promener dans le fichier /tmp et téléchargeait des données sur gloria18611.com et kurgen3211a.com.
En novembre 2015, un autre malware Linux avait été découvert. Linux.Encoder.1 était un cryptolocker qui chiffrait le disque dur de sa victime et réclamait des bitcoins pour rendre les données prises en otage.
![NinjaOne](https://www.zataz.com/wp-content/uploads/NinjaOne.gif.gif")
« Un malware Linux qui vous prend en photo » ?
Pour lire un peu plus tard dans l’article que c’est des photos de l’écran… à moins que l’utilisateur lambda utilise une visioconf’ en permanence, je trouve que le titre ne correspond pas à l’article.
Pour faire dans le commentaire un peu plus constructif, une des recommendations est que lors de l’installation, vous fassiez de /tmp un partition à part entière (2Go suffisent) et d’y ajouter l’option noexec… idéalement il faudrait faire de même pour /home et avoir une partition qui demanderai un accès root ou admin qui permettrait l’exécution des binaires (/usr par exemple) :
UUID=978617ca-d8f2-409d-b9fd-ee5dc5780249 / ext4 errors=remount-ro 0 1
UUID=978617ca-d8f2-409d-b9fd-ee5dc5780249 /tmp ext4 errors=remount-ro,noexec 0 1
UUID=978617ca-d8f2-409d-b9fd-ee5dc5780249 /home ext4 errors=remount-ro,noexec 0 1
UUID=978617ca-d8f2-409d-b9fd-ee5dc5780249 /usr ext4 errors=remount-ro 0 1