Les administrateurs du projet UnrealIRCd ont annoncé que le package d'installation de la dernière version du serveur IRC contenait un backdoor (trojan). La version infectée a été distribuée pendant huit mois via les différents miroirs de téléchargement, sans que personne s'en rende compte.

Le fichier Unreal3.2.8.1.tar.gz placé sur les différents miroirs de téléchargement avait été remplacé depuis des mois par une version contenant un backdoor. Le trojan permet d'exécuter n'importe quelle commande, avec les privilèges de la personne utilisant le ircd, sans restriction, et même si le serveur ou le hub est protégé par un mot de passe.

Les administrateur du projet UnrealIRCd n'ont toujours pas identifié la source de cette intrusion dans leur serveur officiel, mais ils ont pu savoir que le fichier Unreal3.2.8.1.tar.gz avait été remplacé en novembre dernier. Le fichier avait été repris par plusieurs miroirs de partage sans passer par une procédure de validation.

Afin d'éviter que cet incident se reproduise, les packages UnrealIRCd seront cryptés via PGP/GPG. Cette procédure de signature électronique avait été suspendue au vu le manque de popularité de cet outil chez les utilisateurs.

Les utilisateurs qui comptent vérifier leurs fichiers, l'md5sum du package Unreal3.2.8.1.tar.gz est le suivant : 7b741e94e867c0a7370553fd01506c66
Celui utilisé par le backdoor est le suivant : 752e46f2d873c1679fa99de3f52a274d

Les utilisateurs de la version Windows ne sont pas concernés. Et s'il y a des gens qui pensent que les virus et les trojans n'attaquent pas les machines sous Linux, ils vont devoir se détromper. Si une signature ou un nombre de vérification (checksum) est fourni, il doit être vérifié.