Mumblehard : un bot spammeur Linux et BSD

Via ArsTechnica, TheRegister :

Dans un rapport PDF ESET indique avoir mis la main sur un malware baptisé Mumblehard.

La bestiole se présente sous la forme d’un binaire ELF écrit en assembleur qui via une petite astuce (numéros de syscalls qui n’ont pas la même signification) est capable de déterminer s’il tourne sous Linux ou BSD.
Il décode ensuite en mémoire (via boucle XOR) du code perl obfusqué dans le binaire et lance l’interpréteur perl en passant le code décodé sur l’entrée standard de l’interpréteur.

Le malware est alors capable de communiquer à un C&C succinct qui lui permettra surtout de télécharger et lancer un mass-maileur.

Ce qui est plus intéressant c’est que le C&C se trouve dans une plage d’adresse IP appartenant à une société russe baptisée Yellsoft qui commercialise… un outil d’envoi de mails en masse baptisé DirectMailer… et qui est écrit lui aussi en Perl (donc forcément obfusqué 😉 )

Plus original encore : sur le site de Yellsoft on trouve un lien vers une copie de DirectMailer qu’il ne faut surtout pas télécharger selon eux (voyez la logique).
Cette version incorpore étrangement le malware Mumblehard… Autant d’indications qui laissent supposer que les Yellsoft est à l’origine du malware :p