Liste des malwares Linux

Les systèmes d'exploitation GNU/Linux, Unix et « Unix-like » sont en général considérés comme protégés des virus informatiques^[1]. En effet, jusqu'à présent, aucun virus opérant sous Linux n'a été répertorié comme étant très répandu, comme c'est parfois le cas avec Microsoft Windows. Ceci est souvent attribué au fait que les virus Linux ne peuvent accéder aux privilèges « root » et à la rapidité des corrections pour la plupart des vulnérabilités de Linux^[2]. Un autre facteur est le fait qu'il y a moins d'incitations pour un programmeur à écrire des malwares opérant sous Linux :

• il est très répandu sur les serveurs^[3] (il est utilisé par exemple par Google et Wikipédia) et les superordinateurs^[4], mais ceux-ci sont la plupart du temps gérés par des professionnels formés aux enjeux de la sécurité informatique ;
• il est assez peu répandu sur le marché des ordinateurs personnels, meilleurs vecteurs de propagation des malwares en raison de la fréquente inexpérience de leurs utilisateurs.

Le nombre de programmes malicieux (incluant les virus, Trojans et autres types) sous Linux a augmenté ces dernières années, et plus particulièrement doublé en 2005, passant de 422 à 863^[5].

Vulnérabilités de GNU/Linux

Une des vulnérabilité de GNU/Linux est générée par le fait que de nombreux utilisateurs imaginent que GNU/Linux n'est pas sensible aux virus. Tom Ferris, chercheur chez Security Protocols, à Mission Viejo en Californie, déclarait en 2006 : « Les gens pensent que si c'est non-Windows, c'est vraiment sûr, et ce n'est pas le cas. Ils s'imaginent que personne n'écrit de virus pour GNU/Linux ou Mac OS X. Mais ce n'est pas forcément vrai^[5]. »

Shane Cousen, consultant technique senior chez Kaspersky Lab relève que « l'augmentation de virus sous GNU/Linux est tout simplement causée par sa popularité croissante, particulièrement comme système d'exploitation d'ordinateurs de bureau... L'utilisation d'un système d'exploitation est corrélée directement à l'intérêt des auteurs de virus pour développer des virus pour cet OS »^[5].

La liste des virus présentée ci-dessous constitue une menace, bien que minime, pour les systèmes GNU/Linux. Si un fichier binaire contenant un des virus était lancé, le système serait infecté. Le niveau de l'infection dépendrait alors de l'utilisateur qui a lancé le virus et des privilèges utilisés. Un fichier binaire lancé sous le compte root pourrait infecter l'intégralité du système. Des vulnérabilités de l'élévation des privilèges peuvent permettre à un virus lancé sous un compte limité d'infecter le système tout entier.

L'utilisation de dépôts de logiciels réduit de façon notable toute menace de virus, ces dépôts étant contrôlés par les «mainteneurs». qui essaient de garantir des dépôts sans virus. Donc, pour assurer des distributions saines, les md5 et sommes de contrôle sont disponibles. Ces signatures numériques peuvent révéler de possibles modifications. (par exemple, un pirate des communications se livrant à une attaque du type homme du milieu ou par une attaque de redirection telle qu'ARP ou DNS poisoning) Une utilisation attentive de ces signatures numériques fournit une ligne défensive supplémentaire qui limite le champ de l'attaque. Celui-ci ne comprend plus que les auteurs originaux, le package et les mainteneurs de la version, avec éventuellement quelques autres administrateurs avec droits d'accès idoines, en fonction de la façon dont les clés et sommes de contrôles sont maintenus.

Virus multiplate-formes

Un nouveau sujet d'inquiétude, identifié en 2007, concerne les virus multiplate-formes, généré par la popularité des applications multiplate-formes. C'est un virus OpenOffice.org dénommé «Bad Bunny» qui l'a mis en lumière.

Stuart Smith de Symantec a écrit : « L'intérêt de ce virus est d'illustrer à quel point il est facile de créer des scripts sur ces plateformes. L'extensibilité, les plug-ins, ActiveX, etc. peuvent être facilement trompés. Trop souvent, ce point est négligé au profit d'une recherche de fonctions correspondant à celles d'un autre fournisseur. La capacité de survie d'un virus dans un environnement multiplate-formes multi-applications, est particulièrement favorisée dans la mesure où de plus en plus de virus sont diffusés via les sites Web. Combien de temps faudra-t-il avant que quelqu'un utilise ce genre de moyen pour diffuser une infection en JavaScript sur un serveur Web, sans même se préoccuper du type de plateforme ? »^[6].

Logiciels Anti-virus

Il existe un grand nombre d'applications antivirus disponibles pour les ordinateurs sous GNU/Linux, parmi lesquelles :

• Avast!, logiciel propriétaire (version freeware et commerciale) ;
• AVG, logiciel propriétaire (version freeware et commerciale) ;
• Avira AntiVir security software, logiciel propriétaire (version freeware et commerciale) ;
• ClamAV, logiciel libre ;
• Eset, logiciel propriétaire (version commerciale)^[7] ;
• F-Secure Linux, logiciel propriétaire (version commerciale) ;
• Kaspersky Linux Security, logiciel propriétaire (version commerciale) ;
• Panda software, Panda Security for Linux, logiciel propriétaire (version commerciale)^[8] ;
• Sophos Anti-Virus, logiciel propriétaire (version commerciale) ;
• Trend Micro ServerProtect for Linux, logiciel propriétaire (version commerciale).
• VirusBuster, logiciel propriétaire (version commerciale)^[9] ;

Scott Granneman de Security Focus affirme : « Indiscutablement, certaines machines Linux ont besoin de logiciel antivirus. Des serveurs Samba ou NFS par exemple, peuvent stocker des documents dans des formats non documentés vulnérables tels que Microsoft Word ou Microsoft Excel qui contiennent et propagent des virus. Les serveurs de mail sous Linux devraient utiliser un logiciel AV de façon à neutraliser les virus avant qu'ils apparaissent dans la boîte mail des utilisateurs d'Outlook et d'Outlook Express^[10]. »

Leur prédominance sur les serveur de messagerie qui peuvent envoyer des mails sur des ordinateurs utilisant d'autres systèmes d'exploitation, amène généralement les scanners de virus de Linux à utiliser l'ensemble des définitions des virus connus sur toutes les plateformes informatiques, et à les rechercher toutes. Par exemple, le logiciel AV open source ClamAV se prévaut de détecter plus de 500 000 virus, vers et trojans, y compris les virus des macros de Microsoft Office, les fichiers malicieux des mobiles, et autres menaces^[11] ;

Menaces

Voici une liste non exhaustive de logiciels malicieux connus sous Linux. (cf. Threats)

Chevaux de Troie

• Kaiten - Linux.Backdoor.Kaiten cheval de Troie ;
• Rexob - Linux.Backdoor.Rexob trojan.

Virus

• Alaeda – Virus.Linux.Alaeda ;
• Bad Bunny – Perl.Badbunny ;
• Binom – Linux/Binom ;
• Bliss
• Brundle ;
• Bukowski ;
• Diesel – Virus.Linux.Diesel.962 ;
• Kagob a – Virus.Linux.Kagob.a ;
• Kagob b – Virus.Linux.Kagob.b ;
• MetaPHOR (appelé aussi Simile) ;
• Nuxbee – Virus.Linux.Nuxbee.1403 ;
• OSF.8759 ;
• Podloso - Linux.Podloso (Le virus des iPod) ;
• Rike – Virus.Linux.Rike.1627 ;
• RST – Virus.Linux.RST.a ;
• Satyr – Virus.Linux.Satyr.a ;
• Staog ;
• Vit – Virus.Linux.Vit.4096 ;
• Winter – Virus.Linux.Winter.341 ;
• Winux (appelés aussi Lindose ou PEElf ;
• Wit virus ;
• ZipWorm – Virus.Linux.ZipWorm.

Vers

• Adm – Net-Worm.Linux.Adm ;
• Adore ;
• Cheese – Net-Worm.Linux.Cheese ;
• Devnull ;
• Kork ;
• Linux/Lion ;
• Mighty – Net-Worm.Linux.Mighty ;
• Millen – Linux.Millen.Worm ;
• Ramen worm ;
• Slapper ;
• SSH Bruteforce.

Notes et références

• (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Linux malware » (voir la liste des auteurs)

• Portail de la sécurité informatique
• Portail GNU/Linux