Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Trojan dla Linuxa robi zrzuty ekranu

19 stycznia 2016

Złośliwe programy dla Linuxa stają się coraz to bardziej zróżnicowane. Pośród nich można znaleźć programy szpiegujące, ransomware i trojany zaprojektowane do przeprowadzania ataków DDoS. Analitycy bezpieczeństwa Doctor Web przebadali kolejne „dzieło” cyberprzestępców nazwane Linux.Ekoms.1. Ten trojan potrafi okresowo wykonywać zrzuty ekranu i pobierać różne pliki na zaatakowaną maszynę.

Uruchomiony, Linux.Ekoms.1 sprawdza czy jeden z podkatalogów w katalogu domowym zawiera pliki o określonych nazwach. Jeśli nie znajdzie żadnego, to w sposób losowy wybiera podkatalog i zapisuje w nim swoją kopię. Następnie trojan jest uruchamiany już z tej nowej lokalizacji. Jeśli ta operacja się powiedzie, to złośliwy program zestawi połączenie do serwera, którego adres ma zapisany w swoim kodzie. Wszystkie informacje przesyłane pomiędzy serwerem i Linux.Ekoms.1 są szyfrowane.

Co każde 30 sekund trojan wykonuje zrzut ekranu i zapisuje go w katalogu tymczasowym w formacie JPEG. Jeśli nie uda się zapisać pliku, trojan próbuje zapisać go w formacie BMP. Zawartość katalogu tymczasowego jest ładowana na serwer z określoną częstotliwością.

Jeden z wątków systemowych stworzonych przez trojana generuje listę filtrującą dla plików "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst”, które są wyszukiwane w tymczasowej lokalizacji i ładuje na serwer pliki które pasują do wymienionych kryteriów. Jeśli odpowiedzią jest linia uninstall, Linux.Ekoms.1 pobiera z serwera plik wykonywalny, zapisuje go do folderu tymczasowego i uruchamia go. Co więcej, trojan potrafi pobierać i zapisywać pewną liczbę innych plików.

Równolegle ze zdolnością do wykonywania zrzutów ekranu, kod trojana zawiera specjalną funkcjonalność rejestrowania dźwięku i zapisywania go w postaci pliku z rozszerzeniem .aat w formacie WAV. Jednakże w rzeczywistości ta funkcja nie jest nigdzie używana. Wpis dotyczący Linux.Ekoms.1 został dodany do baz wirusów Dr. Web, dlatego nie stanowi on już zagrożenia dla naszych użytkowników.

Więcej informacji na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A