Linux.Ekoms.1 trójai

CH azonosító

CH-12969

Angol cím

Linux.Ekoms.1 trojan

Felfedezés dátuma

2016.01.18.

Súlyosság

Alacsony

Érintett rendszerek

Linux

Érintett verziók

Futtasson teljes rendszerellenőrzést egy naprakész vírusírtó szofverrel.

Összefoglaló

A Linux.Ekoms.1 trójai 30 másodpercenként képernyőmentést készít a fertőzött rendszeren, továbbá a /tmp mappa tartalmát feltöltheti egy szerverre, és további fájlokat tölthet le a támadó parancsára.

Leírás

A kátrvő a $HOME/.config/autostart/%exename%.desktop helyre másolja az alábbi adatokat, így automatikusan indul az operációs rendszerrel:

[Desktop Entry]
Type=Application
Name=%exename%
Exec=%pathtoexe%
Terminal=false

30 másodpercenként képernyőképet készít, és az átmeneti mappába menti JPEG formátumban "ss%d-%s.ss"t névvel, ahol az %s időbélyeg.
Ha a művelet nem sikerül, megpróbálja ugyanazt .BMP formátumban is.

Generál egy keresőlistát a "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst” kritériumokkal, és amelyik fájl illeszkedik erre az átmeneti mappában, az feltöltésre kerül a szerverre.

Érdekesség, hogy a trójaiban helyet kapott egy funkció, mely a mikrofonon keresztül hangot vesz fel, és menti aa-%d-%s.aat néven, de ez egyenlőre nincs aktiválva.

Hivatkozások

Egyéb referencia: vms.drweb.com
Egyéb referencia: news.drweb.com
Egyéb referencia: www.symantec.com