Aller au contenu


Malwares pour Linux

Linux Android malwares rootkits chevaux de Troie vers

  • Vous ne pouvez pas répondre à ce sujet
21 replies to this topic

#1 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 08 septembre 2013 - 03:55

Salut !

 

Il n'y a pas beaucoup de malwares dans le monde Linux à proprement parler, sauf en ce qui concerne Android mais ce système d'exploitation bâtard en fait-il vraiment partie ?

Il en existe (trop) pour les serveurs. Le ciblage des ordinateurs personnels Linux est rare en raison de la faible population attaquable (actuellement 1,5 % des machines), mais là encore il existe quelques malwares.

 

''Hand of Thief'' est un cheval de Troie conçu pour dérober des informations dans les ordinateurs exécutant un système d'exploitation Linux. Ce malware est actuellement proposé à la vente dans les communautés secrètes de la cybercriminalité pour $2,000 (environ 1 500€) y compris les mises à jour. Actuellement il comprend une variété de capteur (''grabber'') pour les navigateurs, Internet Explorer, Firefox, Chrome et dispose des fonctions de porte dérobée (''backdoor'').

De nouvelles versions sont prévues avec une nouvelle série d'injections web et un complément pour devenir un malware bancaire à part entière. Le prix devrait s'élever alors à $3,000 auxquels il faudra rajouter $550 par mise à jour majeure. Ces prix sont les mêmes pour la version Windows du malware. Voilà qui est bizarre quand on sait la relativement petite base d'utilisateurs de Linux.

Hand of Thief serait capable de détecter la présence d’un d’environnement virtuel, d'un bac à sable, d'un débogueur et d'arrêter sa propre exécution si l'environnement ne lui est pas favorable. La détection et l’analyse de ce malware n'en sont que plus difficiles.

Le développeur de Hand of Thief prétend l'avoir testé sur quinze distributions Linux différentes, y compris Ubuntu, Fedora, Mint et Debian avec huit environnements graphiques différents, y compris Gnome et KDE. Il se propagerait via des e-mails et les réseaux sociaux.

 

Thieves Reaching for Linux—”Hand of Thief” Trojan Targets Linux #INTH3WILD (RSA .. 07 août 2013)

 

…. …. …. ….    …. …. …. ….    …. …. …. ….    …. …. …. ….

 

android-bad-good.jpg

 

 

Android est une passoire à malwares. Il y en aurait actuellement environ 800.000.

Un récent d'entre eux mérite une attention particulière :

 

Une faille dans Android permet aux pirates de modifier subrepticement la quasi totalité des applications. La vulnérabilité implique des anomalies dans la façon dont les signatures cryptographiques des applications Android sont vérifiées et installées, permettant une modification du code APK sans casser la signature cryptographique. Le résultat est Android "Master Key".

Uncovering Android Master Key That Makes 99% of Devices Vulnerable (Jeff Forristal .. Bluebox .. juillet 2013)

Ceci a donné l'idée d'un petit scanner pour détecter ce malware. L'application ''Security Scanner Bluebox'' permet de vérifier directement si un appareil Android a été ''patché'' à travers cette vulnérabilité. Elle vérifie également si des applications malveillantes ont été installés qui tirent parti de cette faille. Cette application est maintenant disponible gratuitement.

Scan Your Device for the Android “Master Key” Vulnerability (Jeff Forristal .. Bluebox .. 07 septembre 2013)

 

Une autre application permet également de scanner son appareil à la recherche d'indésirables …

 

 

Certaines applications comme Clueful permettent de savoir, au moins en partie, celles qui lisent les messages sans permission explicite et informent l'utilisateur sur les agissements de ses applications Android et en particulier leur utilisation des données personnelles. Mais c'est insuffisant.

 

…. …. …. ….

 

Ce qui est le plus inquiétant c'est que les développeurs de malwares pour Android pourraient avoir la mauvaise idée d'adapter leurs saletés à des distributions nobles de Linux.

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#2 lolo32

lolo32

    Phobosien

  • Zimien
  • PipPipPipPipPipPipPip
  • 885 Messages :
  • Gender:Male

Posté 08 septembre 2013 - 07:39

Une situation logique,  comme Android est basé sur Linux le portage n'est pas compliqué!

 

Le faible taux de Linux pour le moment le protégeait,  mais avec Android qui a plus de 1 milliard d'installation, ça va changer la donne!

Les réseaux sociaux et les mails sont des vecteurs de transmission ! Donc bien les surveiller !

 

De plus si on est sur Linux, un antivirus est indispensable même si une infection peu sembler rare !

Sur Android idem une bonne protection plus un comportement responsable est indispensable! Mais là c'est pas gagné car ça touche les jeunes qui ne sont pas conscients de cela!!

 

merci^^


Ce message a été modifié par lolo32 - 08 septembre 2013 - 13:31 .

MSI MPOWER MAX + I5 4670 K + CORSAIR HYDRO H75 + 16 GO CRUCIAL ELITE + Asus GTX 660 TI O/C + SSD INTEL + 2 TO + 1TO  WIN 8.1 64 BIT  +COMODO SECURITY  + DUAL BOOT LINUX VOYAGER 64 BIT + COMODO SECURITY

 

Tablette : Asus transformeurTF300 (10.1 pouce )  -- Ainol Novo7 cristal 2 (7 pouce) - Pipo max pro M1 - M9 -- M6  (10.1-9.7-9.7 pouce)

 

 


#3 lars85

lars85

    Touriste Phobosien

  • Zimien
  • PipPipPipPip
  • 110 Messages :
  • Gender:Male

Posté 08 septembre 2013 - 09:55

le monde va mal ...

#4 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 03 décembre 2013 - 12:57

..

Les chercheurs de Symantec ont averti qu'un malware, nommé Linux.Darlloz, se propage en exploitant une vulnérabilité dans php-cgi qui pourtant avait été patchée dès mai 2012.

Beware of new worm targeting Linux PCs – Symantec (KDM .. GMA News .. 01 décembre 2013)
Selon Kaoru Hayashi ..

"Outre les ordinateurs traditionnels, le ver est capable d'attaquer une gamme de petits appareils ayant accès à Internet. Des variantes existent pour les architectures des chips qui se trouvent habituellement dans des dispositifs tels que les routeurs familiaux, les décodeurs et les caméras de sécurité".
Symantec suggested that users take the following steps to prevent infection:
- Verify all devices connected to the network
- Update their software to the latest version
- Update their security software when it is made available on their devices
- Make device passwords stronger
- Block incoming HTTP POST requests to the following paths at the gateway or on each device if not required:
-/cgi-bin/php

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#5 Th-Crown

Th-Crown

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 319 Messages :
  • Gender:Male
  • Location:Quelque part entre l'enfer et la Terre

Posté 04 décembre 2013 - 14:42

Cela pose une question. Quel antivirus pour android ? À la maison, déjà 2 tablettes samsung galaxy tab 3 10.1. Bientôt une troisième. Je vais bientôt être le seul à ne pas en avoir. Quoique, j'attends la sortie de la Nexus 10 pour voir. Je n'ai pas encore eu le temps de trop m'investir dessus, mais je sais qu'il va falloir que je les protège.



#6 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 04 décembre 2013 - 18:13

Cela pose une question. Quel antivirus pour android ? À la maison, déjà 2 tablettes samsung galaxy tab 3 10.1. Bientôt une troisième. Je vais bientôt être le seul à ne pas en avoir. Quoique, j'attends la sortie de la Nexus 10 pour voir. Je n'ai pas encore eu le temps de trop m'investir dessus, mais je sais qu'il va falloir que je les protège.

La meilleure solution est de ne rien avoir qui embarque Android, comme il est préférable de ne pas avoir Windows sur un ordinateur conventionnel.

 

Pour ceux qui achètent de l'Andoid en boîte et risquent donc d'être infectés par l'un ou l'autre parmi plus d'un million de "virus", des suggestions avaient déjà été faites dans le dossier sur Android.

Pour rappel ..

 

sur "google play " presque tout les antivirus ont 4 ou 5 étoiles .

il faudrait donc ce fier au critique des utilisateur , qui sont tellement divergent et très certainement critiquer par des personnes ayant aucune connaissance particulière en sécurité internet que je préfère pas m'y fier .  

"Google Play" se fout de la réalité et cherche à placer tout ce qu'il peut.

 

Ci-dessus, j'ai indiqué une piste ..

[8] Av-test Android (Av-test .. juillet 2013)

 

Plus il y a de carrés blancs et mieux c'est. Je ne saurais te dire ce qui est gratuit ou payant.

 

@+

 

D'autres comparatifs et conseils pour les antivirus sous Android ..

.. Antivirus Android (Philippe Meignan .. Gentside .. 07 mai 2013)

.. Top 5 des applications antivirus Android pour smartphone ou tablette (Mickaël Liege .. Android et Vous .. 19 août 2013)

.. Top 5 des meilleurs antivirus gratuits pour protéger votre terminal Android (Yann Peyrot .. Android MT .. 27 juillet 2013)

 

Beaucoup de sites mentionnent Lookout qui possède des fonctions antivirus et bien d'autres.

Il a été récemment choisi par Samsung et Orange (France Telecom) pour de futurs smartphones.

 

@+

 

Selon ZATAZ ..

 

Un outil français pour la sécurisation d'Android sélectionné par l'OWASP mobile security project. Cocorico ! Androïck version 2.0, une version totalement retravaillée et avec un long changelog, vient de sortir. L'outil a été sélectionné par l'OWASP mobile security project. C'est le seul outil français a avoir été sélectionné ! Derrière cette création, Florian Pradines, 20 ans, un étudiant en deuxième année à l'IUT informatique d'Aix-en-Provence (Aix-Marseille Université). En plus de ses études, le chercheur travaille pour la société Phonesec en tant qu'expert sécurité. La rédaction de Data Security Breach a posé quelques questions au jeune informaticien afin de découvrir quelques petits secrets sur son outil. A noter que l'étudiant souhaiterait poursuivre ses études à l'E.N.S., mais il n'a pas été accepté. Il postule pour l'I.N.S.A. de Lyon et Polytech de Nice et Paris Sud.

 

 

Projects/OWASP Androick Project (site officiel de l'OWASP)

 

@+

 

cela fera doublon avec un post dans la section MBAM de notre forum, mais l'éditeur vient de sortir une version Androïd de Malwarebyte: https://play.google....tes.antimalware

Source: http://blog.malwareb...-been-released/

 

.. et il y en a d'autres

 

@+

 

 

 


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#7 Th-Crown

Th-Crown

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 319 Messages :
  • Gender:Male
  • Location:Quelque part entre l'enfer et la Terre

Posté 04 décembre 2013 - 23:00

Intéressante lecture. Je vais me pencher sur le sujet grâce à toi Txon. Surtout, que je viens d'apprendre que j'avais gagné une Samsung Galaxy Tab 2. Ce n'est pas la tablette la plus récente, mais je ne vais pas cracher dans la soupe. Donc bientôt 4 tablettes à la maison. Il y a déjà 3 pc en permanence, et deux de plus 1 semaine sur 2. On n'est pas sous-équipé. Plus une PS3 et une Xbox 360.



#8 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 31 janvier 2014 - 10:18

..

 

Un malware Java infecte aussi bien les ordinateurs sous Linux que les PCs sous Windows et les boîtes Mac.

 

Baptisé "HEUR:Backdoor.Java.Agent.a" par Kaspersky (Anton Ivanov .. 28 janvier 2014), ce malware profite d'une faille Java des versions 7 Update 21 et antérieures. Cette faille a été corrigée en juin 2012 mais de nombreux utilisateurs n'ont pas effectué les mises à jour.

L’exploitation de la faille peut se faire à travers des graphismes vectoriels spécialement conçus et placés dans des pages web ainsi infectées et affecte tous les systèmes d'exploitation utilisant Java : Linux, Windows etc.
 

Une fois la faille exploitée, le malware s’installe et se copie automatiquement dans les dossiers de démarrage automatique de chaque système pour pouvoir être exécuté à chaque lancement de l’ordinateur. Il communique ensuite avec un canal IRC par lequel il va recevoir les instructions du serveur Command & Control (C&C). Toujours selon Kaspersky, le malware est écrit lui-même en Java et a été conçu pour relayer des commandes d’attaques par déni de service (DDoS). Il intègre même PircBot, une API IRC elle aussi basée sur Java.

 

La solution pour se prémunir contre cette menace est relativement simple : il suffit de mettre à jour votre version de Java si ce n’est pas déjà fait. Si vous possédez la mouture la plus récente, à savoir Java 7 Update 51, vous n’avez donc rien de particulier à faire. Notez que si Java ne vous sert pas, il est également possible de le désinstaller.

 

Une fois infecté un ordinateur infecté par ce cheval de Troie est inclus dans un botnet et utilisé pour lancer des attaques par déni de service DDoS contre d'autres sites Web afin de les mettre hors ligne temporairement ou afin d'insérer d'autres fonctions encore plus pernicieuses.

 

Sous Linux, "HEUR:Backdoor.Java.Agent.a" modifie le fichier dossier "init.d" afin de se relancer à chaque démarrage du système.

Il intègre un obfuscateur de code, réorganisation des bits et octets, pour le rendre difficile à repérer par les logiciels antivirus. Certaines parties du code sont même cryptées.

 

Stealthy Botnet Bug Infects Macs, PCs, Linux Machines (Paul Wagenseil .. tom's Guide .. 29 janvier 2014)

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#9 Darksky

Darksky

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 212 Messages :
  • Gender:Male
  • Location:Belgique

Posté 19 mars 2014 - 15:52

Bonjour,

 

Un cheval de Troie ciblant les serveurs UNIX vient d'être découvert par les chercheurs de l'éditeur ESET.

 

L'opération "Windigo", de son doux nom, aurait déjà infecté 25 000 serveurs en 2 ans et continuerait son expansion.

Ils contribueraient ainsi à l'envoi de quelque 35 millions de spams / jour

Sur les systèmes UNIX / Linux, il n'exploite pas à proprement parler une faille, mais plutôt une mauvaise configuration d'OpenSSH sur le serveur, permettant aux pirates d'installer eux-mêmes la "backdoor".

 

Sur Windows et Mac OS, les effets seraient différents; installation via exploit pour le premier et redirection vers des sites de rencontres pour le second.

 

Les administrateurs peuvent vérifier l'intégrité de leurs serveurs en utilisant la commande suivante:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

En cas de serveurs compromis, ESET recommande fortement un formatage pur et simple du système, la sécurité et les accès étant compromis, tout en renforçant le système d'authentification et en changeant les mots de passe.

 

Source:

http://www.clubic.co...eval-troie.html

Le rapport d'Eset:

http://www.welivesec...lware-campaign/


"Ils ne savaient pas que c'était impossible, alors ils l'ont fait."

Mark Twain


#10 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 11 décembre 2014 - 11:44

..

 

Linux infecté par une variante de Turla (Hinault Romaric ..  Developpez.com .. 09 décembre 2014)
« Un malware sophistiqué utilisé depuis des années pour espionner 45 États. »

Un backdoor lié à l'opération Turla cible les systèmes Linux (Jean Elyan .. Le Monde Informatique .. 10 décembre 2014)
« Une attaque sophistiquée, également connue sous le nom de Snake ou Uroburos, a été découverte en février dernier, mais le backdoor sévit depuis plusieurs années. L'opération massive, menée depuis la Russie, a infecté des ordinateurs appartenant à des organismes gouvernementaux, des ambassades, des installations militaires, des établissements universitaires et de recherche, et des laboratoires pharmaceutiques de plus de 45 pays. »

Un second composant Turla pour Linux aurait été découvert mais il semblerait que cet autre malware soit indépendant du précédent.

 

Ceux qui se croient complètement à l'abri parce qu'ils utilisent un système Linux et ne font même pas les mises à jour de sécurité sont un peu comme ceux qui utilisent sans outil de protection les macaqueries d'Apple . Un jour viendra ..

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#11 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 12 décembre 2014 - 07:44

Absolument.

 

 

Et d'ailleurs, même au titre de la surveillance intérieure, à laquelle je ne souscrit pas forcément, je précise,

 

comment peut-on imaginer une seconde que Linux n'a pas été pris en compte ?



#12 Darksky

Darksky

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 212 Messages :
  • Gender:Male
  • Location:Belgique

Posté 12 décembre 2014 - 17:17

Absolument.

 

 

Et d'ailleurs, même au titre de la surveillance intérieure, à laquelle je ne souscrit pas forcément, je précise,

 

comment peut-on imaginer une seconde que Linux n'a pas été pris en compte ?

 

Ça me semble assez logique aussi.

 

Si on part du constat que bien souvent, les universités, boîtes de recherches, des branches gouvernementales utilisent des solutions serveurs Linux (il me semble même que Debian a été choisi pour remplacer Windows sur la station spatiale internationale), c'est plus que sûrement  existant.

 

Ce sont justement ce genre de données "sensibles", qui sont visées par d'autres Etats. Se passer de concevoir un malware quelconque pour retirer des informations sur des systèmes Linux me parait utopique.

 

L'avantage, c'est que probablement l'utilisateur lambda sera moins visé (on ne trouvera malheureusement jamais de recherches capitales contre des maladies orphelines sur mon PC), mais c'est bel et bien là.

Autre avantage, c'est que "tout le monde" peut se rendre compte que ça existe.

 

De "l'autre côté", avec un code source fermé, ça peut exister depuis une décennie sans jamais avoir été mis à jour...

Personne n'est et ne sera jamais à l'abri. Code ouvert, ou pas.


"Ils ne savaient pas que c'était impossible, alors ils l'ont fait."

Mark Twain


#13 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 12 décembre 2014 - 23:47

 (il me semble même que Debian a été choisi pour remplacer Windows sur la station spatiale internationale)

Absolument !

Selon Keith Chuvala de l’Agence Spatiale américaine et responsable de la section Space Operations Computing pour le compte de la NASA :

« Nous avons besoin d’un système d’exploitation stable et fiable, un système qui nous permettrait un total contrôle interne au cas où nous envisagerions des correctifs, des ajustements ou des adaptations »

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#14 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 08 mai 2015 - 01:25

Le développement des logiciels malveillant pour Linux, ne faiblit pas :

 

https://news.drweb.f...421&lng=fr&c=14

 

http://news.drweb.fr.../?lng=fr&i=9420

 

Et évidemment, Android, devient de plus en plus une cible de choix:

 

http://news.drweb.fr.../?lng=fr&i=9422

 

Prudence donc !!



#15 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 08 mai 2015 - 08:35

Le développement des logiciels malveillant pour Linux, ne faiblit pas :

 

https://news.drweb.f...421&lng=fr&c=14

 

http://news.drweb.fr.../?lng=fr&i=9420

 

Et évidemment, Android, devient de plus en plus une cible de choix:

 

http://news.drweb.fr.../?lng=fr&i=9422

 

Prudence donc !!

 

En effet ..

Au mois d'avril les spécialistes de Doctor Web ont examiné un nouveau Trojan capable d'infecter les OS de la famille Linux - Linux.BackDoor.Sessox.1. Les pirates peuvent le contrôler via le protocole IRC (Internet Relay Chat), — c'est dans ce chat que le bot reçoit des commandes. Le Trojan scanne les ressources Internet à la recherche de vulnérabilités afin de lancer un script sur le serveur non protégé, qui peut installer dans le système compromis la copie du Trojan.

Le Trojan peut attaquer un site web indiqué par les malfaiteurs en envoyant à répétition des requêtes GET.

 

C'est pour ça que sous Linux aussi il faut à des mises à jour fréquentes du système au cours desquelles des failles de sécurité sont comblées. Pour compléter la défense, un antivirus n'est pas inutile quoi qu'en disent les "puristes". J'ai opté pour le plus répandu - ClamAV - qui a un module graphique, un autre de de mise à jour automatique et un système de "balayage en temps réel".

Actuellement, ClamAV identifie plus de 3,5 millions de signatures de malwares puisqu'il permet aussi des recherches de malwares pour Windows. Il se trouve dans presque tous les dépôts officiels des différentes distributions.

 

Autrement, il existe des antivirus spécifiques au monde Linux comme Rootkit Hunter et chkrootkit .

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#16 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 08 mai 2015 - 10:42

Continuant sur la même veine, on pourra remarquer la "pauvreté" de l'offre de solution Linux antivirale.

Dans les éditeurs les plus connus, nous avons, DrWeb (version avec un développement très très suivi), Eset, et Comodo....Les grands ténors/vendeurs, comme Kaspersky and co ne proposent pas de version "grand public". Je parle encore moins de McAfee ne proposant meme pas a ces clients le moindre live-cd pour machine infecté...Le service de désinfection est payant non mais...La Poste s'en souviens^^

En 2011, un logiciel malveillant a réussi à passer à travers les mailles du filet du groupe La Poste. L'Antivirus McAfee veille au grain. Résultat de l'attaque du log, 3 000 machines HS, un mois de taf en interne pour supprimer le virus. McAfee factura sont expertise technique 10.000 Dollars :D et je ne parle même pas du temps pour remettre le système sur pied.
:D



#17 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 08 mai 2015 - 17:27

Continuant sur la même veine, on pourra remarquer la "pauvreté" de l'offre de solution Linux antivirale.

 

Le nombre d'antivirus existant pour Linux ne serait-il pas proportionnel au nombre de "virus" qui affectent Linux ?

Il existe plus de 3 millions de malwares "de base" pour Windows (des dizaines de millions si on compte les dérivés et variantes), déjà des centaines et des centaines de milliers pour Android (version détériorée de Linux) plusieurs dizaines de milliers pour Mac OS X.

Combien y en a-t-il pour Linux ? Je ne suis pas certain qu'il y en ait dix mille.

 

Parmi les antivirus gratuits pour Linux, il y a aussi Linux Malware Detect (LMD) et Uhuru mais je me méfie de celui-ci car, sans être totalement paranoïaque, il est en partie financé par l'état français et donc susceptible de contenir une "backport" et un cheval de Troie. Voir le projet Davfi DavDroid (devenu Uhuru).

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#18 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 08 mai 2015 - 18:07

Je pense plus qu'ils raisonnent en parts de marché, plutôt qu'en nombre d'infections potentielles ;)

 

Même si, c'est vrai, l'un ne va pas sans l'autre.

 

Dès lors, saluons ceux qui proposent une solution pour Linux.

 

Cela démontre que leur priorité reste la protection, et que le marketing, bien que nécessaire, n'est pas encore devenu une priorité.


Ce message a été modifié par vigen - 08 mai 2015 - 18:08 .


#19 Darksky

Darksky

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 212 Messages :
  • Gender:Male
  • Location:Belgique

Posté 08 mai 2015 - 20:37

En effet, les solutions pour linux ne sont pas légion.

 

J'ai installé ClamAV mais je ne sais pas comment fonctionne le module "en temps réel".

Je parviens à lancer des scans à la demande mais il en ressort souvent de faux positifs, notamment sur des fichiers LibreOffice si je me souviens bien.

 

J'ai testé très brièvement DrWeb, qui ma trouvé une infection dans un mail dans Thunderbird (une saloperie de spam, en pièce jointe), mais dédiée à Windows.

Là, la protection en temps réel fonctionne très bien, mais activer le spider gate (protection web) détériore la qualité du surf niveau vitesse. Il suffit de la désactiver, ceci-dit. Le produit à l'avantage de ne pas être excessivement cher (~13-15€/an).

 

Kaspersky, c'est pour de la PME minimum pour Linux, et donc principalement du serveur avec achat de licence dépassant les 100€/an, on oublie.

 

Quand à Comodo, malheureusement, il n'est plus suivi et ne fonctionne plus avec les versions récentes de Debian/Ubuntu/Mint (sauf en scan à la demande).

Bref, je vais me pencher un peu plus sur ClamAV, et au pire, si je ne me sens plus en sécurité sous Linux, me tournerais vers DrWeb.


"Ils ne savaient pas que c'était impossible, alors ils l'ont fait."

Mark Twain


#20 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 09 mai 2015 - 07:09

..

 

J'avoue utiliser ClamAV essentiellement dans le cadre de démarrages multiples pour scanner des partitions Windows depuis une distribution Linux sans avoir à utiliser un Live CD.

 

J'ai installé ClamAV mais je ne sais pas comment fonctionne le module "en temps réel".

Je parviens à lancer des scans à la demande mais il en ressort souvent de faux positifs, notamment sur des fichiers LibreOffice si je me souviens bien.

 

Il existe un script de HacKurx  (30 juin 2012)

Pré-requis: clamav-daemon et inotify-tools.
Recommandé pour un PC de bureau: libnotify-bin.

Dans l'exemple fourni, provoque le scan d'un répertoire /home, mais ça peut en être un autre.

 

Il y a aussi Linux Malware Detect qui peut être utilisé en conjonction avec ClamAV.

How to Install and Use Linux Malware Detect (LMD) with ClamAV as Antivirus Engine (Gabriel Cánepa .. TecMint .. 12 février 2015)

 

Enfin, il y aurait aussi le paquet eole-antivirus (jamais essayé) qui "s'appuie sur les services clamav-daemon et clamav-freshclam".

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#21 Neuromancien

Neuromancien

    Octozimien

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 6 551 Messages :
  • Gender:Male
  • Location:Moselle

Posté 09 mai 2015 - 07:18

Salut !

 

En voyant ce fil, je me suis rappelé que j'avais une licence ESET pour trois appareils et je suis demandé si par hasard NOD32 fonctionnerait avec Linux.

La réponse est oui.

Alors, comme la licence pour mon Windows court jusqu'au 25/18/15, j'ai tenté le coup. Cela fonctionne.

L'installation est un peu "windosienne" : c'est un clicodrome.


"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)


#22 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 10 mai 2015 - 18:54

..

 

L'idée est connue depuis longtemps mais jusqu'ici peu appliquée ..

 

« Des développeurs ont publié deux petits logiciels malveillants qui prennent la démarche inhabituelle de complètement fonctionner dans la carte graphique de l'ordinateur infecté, plutôt que dans son CPU, afin d'améliorer leur furtivité et augmenter leurs capacités de calcul.
Tant le rootkit Jellyfish que le keylogger Démon sont décrits comme des "preuves de concept" par leurs développeurs pseudo-anonymes, avec lesquels Ars a été incapable de communiquer. Exploiter le GPU de l'ordinateur infecté permet aux logiciels malveillants de fonctionner sans l'habituel crochetage logiciel ou les modifications logicielles que les malwares font dans le noyau du système d'exploitation
».

GPU-based rootkit and keylogger offer superior stealth and computing power (Dan Goodin .. Ars Technica .. 07 mai 2015)

 

GPU rootkit PoC by Team Jellyfish (GitHub)

 

 

[b] ... Les rootkits firmware (driver level rootkits) ou flash .
Certains éléments de l'ordinateur disposent en interne d'une mémoire propre et d'un logiciel de fonction dont l'accès n'est pas complètement verrouillé afin que des mises à jour puissent être effectuées. Une première annonce de possibilité d'intrusion dans un « processeur secondaire » a été faite par Greg Hoglung dès 2004.
De son côté, le chercheur John Heasmann de NGS Software a démontré qu'il était possible de profiter de failles de sécurité pour implanter dans la mémoire en question des programmes totalement différents des originaux. Il a conçu des rootkits "POC" pour BIOS et cartes graphiques ...

.. Implementing and detenting an ACPI BIOS rootkit.

.. Implementing and detenting a PCI rootkit.

Les attaques au niveau des pilotes (driver level) peuvent également viser toutes sortes d'autres périphériques et en particulier les cartes WiFi.
Aucune mesure habituelle comme le formatage de disque suivi d'une réinstallation du système d'exploitation n'est efficace contre ce genre d'intrusion. Pour s'en protéger, il faudrait disposer de composants qui imposent un strict contrôle de signature des implantations dans ces éléments, par exemple grâce à un processeur de sécurité conforme aux normes TPM (Trusted Platform Module) ... encore assez rare, plus cher et sans garantie d'efficacité totale.

C'était -> ICI <- en 2007 ..

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)




1 utilisateur(s) en train de lire ce sujet

0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)