19 stycznia 2016

Złośliwe programy dla Linuxa stają się coraz to bardziej zróżnicowane. Pośród nich można znaleźć programy szpiegujące, ransomware i trojany zaprojektowane do przeprowadzania ataków DDoS. Analitycy bezpieczeństwa Doctor Web przebadali kolejne „dzieło” cyberprzestępców nazwane Linux.Ekoms.1. Ten trojan potrafi okresowo wykonywać zrzuty ekranu i pobierać różne pliki na zaatakowaną maszynę.

Uruchomiony, Linux.Ekoms.1 sprawdza czy jeden z podkatalogów w katalogu domowym zawiera pliki o określonych nazwach. Jeśli nie znajdzie żadnego, to w sposób losowy wybiera podkatalog i zapisuje w nim swoją kopię. Następnie trojan jest uruchamiany już z tej nowej lokalizacji. Jeśli ta operacja się powiedzie, to złośliwy program zestawi połączenie do serwera, którego adres ma zapisany w swoim kodzie. Wszystkie informacje przesyłane pomiędzy serwerem i Linux.Ekoms.1 są szyfrowane.

Co każde 30 sekund trojan wykonuje zrzut ekranu i zapisuje go w katalogu tymczasowym w formacie JPEG. Jeśli nie uda się zapisać pliku, trojan próbuje zapisać go w formacie BMP. Zawartość katalogu tymczasowego jest ładowana na serwer z określoną częstotliwością.

Jeden z wątków systemowych stworzonych przez trojana generuje listę filtrującą dla plików "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst”, które są wyszukiwane w tymczasowej lokalizacji i ładuje na serwer pliki które pasują do wymienionych kryteriów. Jeśli odpowiedzią jest linia uninstall, Linux.Ekoms.1 pobiera z serwera plik wykonywalny, zapisuje go do folderu tymczasowego i uruchamia go. Co więcej, trojan potrafi pobierać i zapisywać pewną liczbę innych plików.

Równolegle ze zdolnością do wykonywania zrzutów ekranu, kod trojana zawiera specjalną funkcjonalność rejestrowania dźwięku i zapisywania go w postaci pliku z rozszerzeniem .aat w formacie WAV. Jednakże w rzeczywistości ta funkcja nie jest nigdzie używana. Wpis dotyczący Linux.Ekoms.1 został dodany do baz wirusów Dr. Web, dlatego nie stanowi on już zagrożenia dla naszych użytkowników.

Więcej informacji na temat tego trojana