Новый троян Linux.Ekoms.1 под Linux делает скриншоты
19 января 2016, 18:35
По сообщению компании «Доктор Веб», новый вирус под названием Linux.Ekoms.1, функционирующий в соответствующей среде Linux, научился с определенной периодичностью делать на инфицированном компьютере снимки экрана и загружать на зараженную машину различные файлы.
После запуска Linux.Ekoms.1 проверяет наличие в одной из подпапок домашней директории пользователя файлов с заранее заданными именами и при их отсутствии сохраняет собственную копию в одной из них (выбор осуществляется случайным образом), а затем запускается из новой локации. После успешного троянец соединяется с одним из управляющих серверов, адреса которых «зашиты» в его теле. Все данные, которыми Linux.Ekoms.1 обменивается с управляющим центром, шифруются.
С периодичностью в 30 секунд троянец делает на зараженном компьютере снимок экрана (скриншот) и сохраняет его во временную папку в формате JPEG. Если поместить файл на диск по каким-либо причинам не удалось, Linux.Ekoms.1 пытается выполнить сохранение в формате BMP. Содержимое временной папки загружается на управляющий сервер по таймеру с определенными временными интервалами.
Один из создаваемых троянцем потоков в ОС Linux генерирует на инфицированном компьютере список фильтров для имен файлов вида "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst", поиск по которым осуществляется во временной папке, и загружает подходящие под эти критерии файлы на управляющий сервер. Если в ответ поступает строка uninstall, Linux.Ekoms.1 загружает с сервера злоумышленников исполняемый файл, сохраняет его во временную папку и запускает оттуда. Также троянец обладает возможностью загрузки с управляющего сервера других произвольных файлов и их сохранения на диске компьютера.
Помимо функции создания снимков экрана в коде троянца присутствует специальный механизм, позволяющий записывать звук и сохранять полученную запись в файл с расширением .aat в формате WAV, но практически эта возможность нигде не используется.
Согласно информации компании «Доктор Веб», сигнатура Linux.Ekoms.1 уже добавлена в вирусные базы, потому не представляет опасности для пользователей Антивируса Dr.Web для Linux. Подробное описание Linux.Ekoms.1 можно найти здесь.
Ранее редакция THG.ru опубликовала новость о том, что "Лаборатория Касперского" предложила пользователям бесплатную версию антивируса для домашнего использования. Подробнее об этом читайте в новости ""Лаборатория Касперского" выпустила бесплатный антивирус".