Специалисты антивирусной компании «Доктор Веб» опубликовали на своём
официальном сайте обзор нового троянца, буйствующего на операционной
системе Linux, который получил название Linux.Ekoms.1. Как отмечается в
отчёте, зловред способен с определённой периодичностью делать на
заражённом компьютере снимки экрана, загружать в систему различные файлы
и даже записывать звук.
После успешного запуска Linux.Ekoms.1 проверяет одну из подпапок домашней директории пользователя на наличие файлов с заранее заданными именами. В случае отсутствия подобных файлов троянец сохраняет свою копию в выбранной случайным образом директории, после чего запускается из новой локации и производит соединение с одним из управляющих серверов, адреса которых «зашиты» в его теле. При этом обмен данными с управляющим центром осуществляется с использованием шифрования.
Linux.Ekoms.1 делает скриншоты на инфицированной машине с
периодичностью раз в 30 секунд, сохраняя их во временную папку в формате
JPEG. Вредонос также может попытаться выполнить сохранение в формате
BMP, если по тем или иным причинам на диск не удалось поместить файл в
формате JPEG. Далее содержимое временной папки загружается на
управляющий сервер через определённые временные интервалы.
Кроме того, Linux.Ekoms.1 способен загружать на управляющий сервер файлы, подходящие под определённые критерии. Для этого один из создаваемых троянцем потоков в ОС Linux генерирует на инфицированном компьютере список фильтров для имен файлов вида aa*.aat", dd*ddt, kk*kkt, ss*sst, по которым и осуществляется поиск во временной папке.
Ещё данный зловред обладает способностью записывать звук и сохранять полученную запись в файл с расширением .aat в формате WAV. Правда, как отмечается в отчёте, на практике эта возможность нигде не используется.
Источник:
После успешного запуска Linux.Ekoms.1 проверяет одну из подпапок домашней директории пользователя на наличие файлов с заранее заданными именами. В случае отсутствия подобных файлов троянец сохраняет свою копию в выбранной случайным образом директории, после чего запускается из новой локации и производит соединение с одним из управляющих серверов, адреса которых «зашиты» в его теле. При этом обмен данными с управляющим центром осуществляется с использованием шифрования.
Кроме того, Linux.Ekoms.1 способен загружать на управляющий сервер файлы, подходящие под определённые критерии. Для этого один из создаваемых троянцем потоков в ОС Linux генерирует на инфицированном компьютере список фильтров для имен файлов вида aa*.aat", dd*ddt, kk*kkt, ss*sst, по которым и осуществляется поиск во временной папке.
Ещё данный зловред обладает способностью записывать звук и сохранять полученную запись в файл с расширением .aat в формате WAV. Правда, как отмечается в отчёте, на практике эта возможность нигде не используется.
Источник:
Комментариев нет:
Отправить комментарий