Torna alla lista delle notizie
19 gennaio 2016
Dopo l'avvio Linux.Ekoms.1 controlla in una sottocartella della directory home dell'utente la disponibilità dei file con i nomi prestabiliti e se tali file non ci sono, salva una sua copia in una sottocartella (selezionata in modo casuale) e quindi si avvia dal nuovo percorso. Successivamente il trojan si connette con uno dei server di gestione i cui indirizzi sono trascritti nel suo corpo. Sono cifrati tutti i dati che Linux.Ekoms.1 si scambia con il suo centro di comando.
Con una periodicità di 30 secondi il trojan cattura sul computer infetto una schermata (screenshot) e la salva nella cartella temporanea nel formato JPEG. Se per qualche motivo Linux.Ekoms.1 non ha potuto memorizzare il file su disco, cerca di salvarlo nel formato BMP. I contenuti della cartella temporanea vengono caricati sul server di gestione in base a un temporizzatore con determinati intervalli.
Uno dei flussi, creati dal trojan nell'SO Linux, genera una lista dei filtri dei nomi di file del tipo "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst" secondo cui viene effettuata una ricerca nella cartella temporanea, e carica i file che soddisfano questi criteri sul server di gestione. Se Linux.Ekoms.1 riceve dal server come risposta la stringa uninstall, scarica dal server un file eseguibile, lo salva nella cartella temporanea e lo avvia da questa cartella. Inoltre, il trojan ha la possibilità di scaricare dal server di gestione altri file di qualsiasi carattere e di salvarli su disco del computer.
Oltre alla funzione di cattura delle schermate, nel codice del trojan è previsto un specifico meccanismo che permette di registrare suoni e salvare la registrazione ottenuta in un file con l'estensione .aat nel formato WAV, ma questa funzione non si usa. La firma di Linux.Ekoms.1 è stata aggiunta ai database dei virus, dunque questo trojan non rappresenta alcun pericolo agli utenti dell'Antivirus Dr.Web per Linux.
La tua opinione conta per noi
Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.
Altri commenti