Összefoglaló
A Linux.Ekoms.1 trójai 30 másodpercenként képernyőmentést készít a fertőzött rendszeren, továbbá a /tmp mappa tartalmát feltöltheti egy szerverre, és további fájlokat tölthet le a támadó parancsára.
Leírás
A kátrvő a $HOME/.config/autostart/%exename%.desktop helyre másolja az alábbi adatokat, így automatikusan indul az operációs rendszerrel:
[Desktop Entry] Type=Application Name=%exename% Exec=%pathtoexe% Terminal=false30 másodpercenként képernyőképet készít, és az átmeneti mappába menti JPEG formátumban "ss%d-%s.ss"t névvel, ahol az %s időbélyeg.
Ha a művelet nem sikerül, megpróbálja ugyanazt .BMP formátumban is.
Generál egy keresőlistát a "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst” kritériumokkal, és amelyik fájl illeszkedik erre az átmeneti mappában, az feltöltésre kerül a szerverre.
Érdekesség, hogy a trójaiban helyet kapott egy funkció, mely a mikrofonon keresztül hangot vesz fel, és menti aa-%d-%s.aat néven, de ez egyenlőre nincs aktiválva.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Trójai
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: vms.drweb.com
Egyéb referencia: news.drweb.com
Egyéb referencia: www.symantec.com