Les chercheurs d’ESET viennent d’identifier une version améliorée de Linux/Remaiten, généralement utilisée pour effectuer des attaques par déni de service (DDoS). Le malware remasterisé a été surnommé "KTN - Remastered" ou "KTN -RM", dont la troisième version identifiée par les chercheurs d'ESET est basé sur des noyaux existants. La principale caractéristique du malware repose sur un mécanisme de diffusion amélioré.
Utilisant des scans telnet, la nouvelle version KTN-RM augmente sa capacité de diffusion en effectuant le téléchargement directement sur des plates-formes de type routeurs et autres périphériques connectés. Ce mécanisme cible prioritairement les environnements possédant des faiblesses au niveau des identifiants de connexion.
“Ce code malveillant tente de se connecter via telnet sur les devices du réseau. Une fois réussi, il injecte un « downloader » qui détermine le processeur utilisé (ARM, ou MIPS). Il lance ainsi le téléchargement de l’exécutable approprié auprès de son serveur C&C et installe le bot Linux/Remainten approprié. Nous avons vu cette technique utilisée auparavant par Linux/Moose pour propager des infections”, explique Michal Malík , ESET Malware chercheur.
La conception atypique de ce code intègre aussi un message destiné à ceux qui pourraient tenter de le neutraliser.
"Dans le message de « bienvenue », la version 2.0 « marque son intérêt » pour le site malwaremustdie.org qui a publié de nombreux détails sur Gafgy, Tsunami et d'autres membres de cette famille de logiciels malveillants” ajoute M. Malík.
Des détails supplémentaires ainsi qu’une analyse du code « Linux/Remaiten Bot » peuvent être trouvés dans un article technique par Michal Malik sur le blog officiel 'ESET :