Új trójai kémkedik a Linux-felhasználók után

Dr. Web, egy orosz antivírusgyártó fedezte fel a Linux-felhasználókat veszélyeztető új fenyegetést, a Linux.Ekocms.1-nek keresztelt trójait, amely olyan speciális képességekkel rendelkezik a tökéletes kémkedés érdekében, mint a képernyőfotó készítése és a hangrögzítés.

A néhány napja felfedezett trójai csak a legutolsó a linuxos PC-ket támadó fenyegetések sorában, miután a Linux.Encoder zsaroló kártevőcsalád és a Linux XOR DDoS kártevő rengeteg problémát okozott az elmúlt ősszel, jelentőset rombolva a Linux sérthetetlenségi mítoszán.

Dr. Web szerint ez a trójai a kémkedő kártevők családjához tartozik, és speciálisan arra hozták létre, hogy minden 30 másodpercben készítsen egy képernyőfotót a felhasználók számítógépéről.

A legtöbb esetben a screenshotok mindig ugyanazokba a mappákba kerülnek mentésre, de ha ezek nem léteznének, a trójai nem esik kétségbe, létrehoz egy sajátot erre a célra.

21735726_m

Antivírus-megoldás híján érdemes ellenőrizni az alábbi mappákat, és megnézni, hogy tartalmaznak-e mentést a képernyőnkről, hiszen ha igen, akkor jó eséllyel a Linux.Ekocms tevékenykedik a gépünkön.

– $HOME/$DATA/.mozilla/firefox/profiled
– $HOME/$DATA/.dropbox/DropboxCache

Alapértelmezettként a trójai minden fájlt JPEG formátumban ment el olyan néven, amely tartalmazza a kép készítésének időpontját is. Ha valami hiba történik a fájl mentése során, a trójai átvált BPM képformátumra.

A Linux.Ekocms rendszeres időközönként feltölti a screenshotokat egy C&C (parancs) szerverre proxyn keresztül. A szerver IP címét a trójai forráskódjába programozták. A fájlokat titkosított kapcsolaton keresztül küldik, így meglehetősen nehéz külsős eszközökkel leleplezni a trójai tevékenységét.

A hangrögzítés fícsör megléte ellenére ez a funkció soha nem volt aktív a trójai normális működése során.

Jelenlegi formájában a Linux.Ekocms egy erőteljes felderítő eszköz, lehetővé téve a támadóknak, hogy képet kapjanak a Linux-felhasználók napi rendszerességgel használt eszközeiről és az általuk látogatott weboldalakról. Dr. Web nem tette közzé azt, hogy a kártevő milyen módon fertőzi meg a linuxos gépeket.

Forrás: Softpedia

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.