Специалисты компании “Доктор Веб” обнаружили новый образец вредоносного ПО для ОС Linux, способный делать снимки экрана, а также загружать и выполнять произвольные файлы на инфицированных ПК. Вредонос получил название Linux.Ekoms.1.
При запуске Linux.Ekoms.1 проверяет наличие определенных файлов с заранее заданными именами в одной из подпапок домашней директории пользователя. При отсутствии файлов вредонос сохраняет собственную копию в одной из подпапок, причем выбор осуществляется случайным образом. В случае успешного запуска троян соединяется с одним из C&C-серверов по адресам, прописанным в коде вредоносного ПО. Все передаваемые данные подвергаются шифрованию.
Каждые 30 секунд вредоносное ПО делает снимок экрана на зараженном компьютере и сохраняет его в формате JPEG в временную папку. Если сохранить файл не удалось, вредонос повторяет попытку сделать скриншот в формате BMP. Содержимое временной папки передается на C&C-сервер через заданные промежутки времени.
Троян создает на инфицированном компьютере список фильтров наподобие “aa*.aat”, “dd*ddt”, “kk*kkt”, “ss*sst” с поиском во временной папке. Если по критериям поиска обнаруживается один или несколько файлов, Linux.Ekoms.1 осуществляет загрузку на вредоносный сервер. Получив команду “uninstall”, троян загружает во временную папку и запускает исполняемый файл с сервера злоумышленников. Вредонос также способен загружать произвольные файлы с C&C-сервера. В коде Linux.Ekoms.1 присутствует механизм записи звука в формате WAV и сохранения полученного файла с раширением *.aat. В настоящее время вирус не использует данной функции. (Dr.Web/NovostIT)