Linux.Ekoms.1 trójai

CH azonosító

CH-12969

Angol cím

Linux.Ekoms.1 trojan

Felfedezés dátuma

2016.01.18.

Súlyosság

Alacsony

Érintett rendszerek

Linux

Érintett verziók

Futtasson teljes rendszerellenőrzést egy naprakész vírusírtó szofverrel.

Összefoglaló

A Linux.Ekoms.1 trójai 30 másodpercenként képernyőmentést készít a fertőzött rendszeren, továbbá a /tmp mappa tartalmát feltöltheti egy szerverre, és további fájlokat tölthet le a támadó parancsára.

Leírás

A kátrvő a $HOME/.config/autostart/%exename%.desktop helyre másolja az alábbi adatokat, így automatikusan indul az operációs rendszerrel:

[Desktop Entry]
Type=Application
Name=%exename%
Exec=%pathtoexe%
Terminal=false

30 másodpercenként képernyőképet készít, és az átmeneti mappába menti JPEG formátumban "ss%d-%s.ss"t névvel, ahol az %s időbélyeg.
Ha a művelet nem sikerül, megpróbálja ugyanazt .BMP formátumban is.

Generál egy keresőlistát a "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst” kritériumokkal, és amelyik fájl illeszkedik erre az átmeneti mappában, az feltöltésre kerül a szerverre.

Érdekesség, hogy a trójaiban helyet kapott egy funkció, mely a mikrofonon keresztül hangot vesz fel, és menti aa-%d-%s.aat néven, de ez egyenlőre nincs aktiválva.

Hivatkozások

Egyéb referencia: vms.drweb.com
Egyéb referencia: news.drweb.com
Egyéb referencia: www.symantec.com


Legfrissebb sérülékenységek
CVE-2023-4863 – Google Chrome sérülékenysége
CVE-2023-40186 – FreeRDP sérülékenysége
CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége
CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége
CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége
CVE-2023-38831 – RARLabs WinRAR sérülékenysége
CVE-2023-38035 – Ivanti Sentry sérülékenysége
CVE-2023-20212 – ClamAV sérülékenysége
CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége
Tovább a sérülékenységekhez »