Trojan dla Linuxa robi zrzuty ekranu
Wiadomości o aktywnych zagrożeniach | Hot news | All the news | Ostrzeżenia wirusowe
19 stycznia 2016
Uruchomiony, Linux.Ekoms.1 sprawdza czy jeden z podkatalogów w katalogu domowym zawiera pliki o określonych nazwach. Jeśli nie znajdzie żadnego, to w sposób losowy wybiera podkatalog i zapisuje w nim swoją kopię. Następnie trojan jest uruchamiany już z tej nowej lokalizacji. Jeśli ta operacja się powiedzie, to złośliwy program zestawi połączenie do serwera, którego adres ma zapisany w swoim kodzie. Wszystkie informacje przesyłane pomiędzy serwerem i Linux.Ekoms.1 są szyfrowane.
Co każde 30 sekund trojan wykonuje zrzut ekranu i zapisuje go w katalogu tymczasowym w formacie JPEG. Jeśli nie uda się zapisać pliku, trojan próbuje zapisać go w formacie BMP. Zawartość katalogu tymczasowego jest ładowana na serwer z określoną częstotliwością.
Jeden z wątków systemowych stworzonych przez trojana generuje listę filtrującą dla plików "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst”, które są wyszukiwane w tymczasowej lokalizacji i ładuje na serwer pliki które pasują do wymienionych kryteriów. Jeśli odpowiedzią jest linia uninstall, Linux.Ekoms.1 pobiera z serwera plik wykonywalny, zapisuje go do folderu tymczasowego i uruchamia go. Co więcej, trojan potrafi pobierać i zapisywać pewną liczbę innych plików.
Równolegle ze zdolnością do wykonywania zrzutów ekranu, kod trojana zawiera specjalną funkcjonalność rejestrowania dźwięku i zapisywania go w postaci pliku z rozszerzeniem .aat w formacie WAV. Jednakże w rzeczywistości ta funkcja nie jest nigdzie używana. Wpis dotyczący Linux.Ekoms.1 został dodany do baz wirusów Dr. Web, dlatego nie stanowi on już zagrożenia dla naszych użytkowników.