Nuevos Spies Troya en Usuarios de Linux de Imágenes toma y grabación de audio
Dr.Web, un fabricante de antivirus rusa, ha detectado una nueva
amenaza contra los usuarios de Linux, el troyano Linux.Ekocms.1, que
incluye características especiales que le permiten tomar screengrabs y
grabar audio.
Descubierto hace cuatro días, Linux.Ekocms es sólo la última amenaza focalización PCs Linux, después de la familia ransomware Linux.Encoder y el malware Linux XOR DDoS había causado un gran número de cuestiones otoño pasado y hacerse un hueco en el estado de Linux como impermeable cuando llega a las infecciones de malware.Linux.Ekocms toma una captura de pantalla cada 30 segundos
Descubierto hace cuatro días, Linux.Ekocms es sólo la última amenaza focalización PCs Linux, después de la familia ransomware Linux.Encoder y el malware Linux XOR DDoS había causado un gran número de cuestiones otoño pasado y hacerse un hueco en el estado de Linux como impermeable cuando llega a las infecciones de malware.Linux.Ekocms toma una captura de pantalla cada 30 segundos
Según Dr.Web, este troyano en particular es parte de la familia de spyware y fue especialmente diseñado para tomar una captura de pantalla del escritorio del usuario cada 30 segundos.
En la mayoría de casos, los archivos de pantalla se guardan siempre a las mismas dos carpetas, pero si no existen las carpetas, el troyano crearán su propio cuando sea necesario.
Si usted no tiene una solución antivirus instalada en su PC Linux, puede comprobar si hay Linux.Ekocms por la inspección de las dos carpetas siguientes y ver si encuentra alguna screengrabs:
- $ HOME / $ DATA / .mozilla / firefox / perfilado
- $ HOME / $ DATA / .dropbox / DropboxCache
Por defecto, el troyano guarda todos los archivos en formato JPEG con un nombre que contiene la fecha y hora de cuando se tomó la imagen. Si hay un error al guardar el archivo, el troyano utilizará el formato de imagen BPM.Todos screengrabs se cargan en un servidor remoto
Linux.Ekocms También sube todas estas imágenes a intervalos regulares a un C & C (comando y control) servidor a través de un proxy. La dirección IP del servidor de C & C está codificada en el código fuente del troyano. Todos los archivos se envían a través de una conexión cifrada, por lo que terceros revertir ingenieros herramientas tendrían dificultades para recoger en las operaciones de la Troya.
A pesar de la presencia de una función de grabación de audio en su código base, Dr.Web dice que esta funcionalidad no estaba activo en el funcionamiento normal del troyano.
En su forma actual, Linux.Ekocms es una herramienta de reconocimiento de gran alcance, permitiendo a los atacantes para tener una idea de las herramientas de un usuario de Linux utiliza a diario y el sitio web que visitan.
Dr.Web especialistas de malware no han revelado cómo el malware infecta los ordenadores de este Linux.
No comments