Троян для Linux способен делать снимки экрана и записывать звук

Софт Свободное ПО Безопасность Пользователю
мобильная версия
, Текст: Татьяна Короткова

Вирусные аналитики компании «Доктор Веб» исследовали очередное творение вирусописателей, получившее наименование Linux.Ekoms.1. Эта вредоносная программа умеет с определенной периодичностью делать на инфицированном компьютере снимки экрана и загружать на зараженную машину различные файлы, сообщили CNews в «Доктор Веб».

После своего запуска Linux.Ekoms.1 проверяет наличие в одной из подпапок домашней директории пользователя файлов с заранее заданными именами и при их отсутствии сохраняет собственную копию в одной из них (выбор осуществляется случайным образом), а затем запускается из новой локации. После успешного запуска троян соединяется с одним из управляющих серверов, адреса которых «зашиты» в его теле. Все данные, которыми Linux.Ekoms.1 обменивается с управляющим центром, шифруются.

С периодичностью в 30 секунд троян делает на зараженном компьютере снимок экрана (скриншот) и сохраняет его во временную папку в формате JPEG. Если поместить файл на диск по каким-либо причинам не удалось, Linux.Ekoms.1 пытается выполнить сохранение в формате BMP. Содержимое временной папки загружается на управляющий сервер по таймеру с определенными временными интервалами.

Один из создаваемых трояном потоков в ОС Linux генерирует на инфицированном компьютере список фильтров для имен файлов вида «aa*.aat», «dd*ddt», «kk*kkt», «ss*sst», поиск по которым осуществляется во временной папке, и загружает подходящие под эти критерии файлы на управляющий сервер. Если в ответ поступает строка uninstall, Linux.Ekoms.1 загружает с сервера злоумышленников исполняемый файл, сохраняет его во временную папку и запускает оттуда. Также троян обладает возможностью загрузки с управляющего сервера других произвольных файлов и их сохранения на диске компьютера.

Помимо функции создания снимков экрана в коде трояна присутствует специальный механизм, позволяющий записывать звук и сохранять полученную запись в файл с расширением .aat в формате WAV, но практически эта возможность нигде не используется. Сигнатура Linux.Ekoms.1 добавлена в вирусные базы, и потому этот троян не представляет опасности для пользователей «Антивируса Dr.Web для Linux», утверждают в «Доктор Веб».