Dr.Web发现了一种针对Linux用户的新型木马Linux.Ekocms.1。该木马能够截屏并记录音频。
该漏洞发现于四天前,是最新针对Linux计算机的威胁。
每隔30秒截一次屏
Dr. Web指出,这个木马是监控软件家族的一部分,而且专门用来在每隔30秒就截一次用户的桌面屏幕。在多数情况下,截屏文件都会被保存到相同的两个文件夹中,但如果这个文件夹并不存在,那么这个木马就会在必要时创建自己的文件夹。如果用户没有在Linux电脑上安装杀毒解决方案,可查看以下两个文件夹并观察是否找到任何截屏:
- $HOME/$DATA/.mozilla/firefox/profiled
- $HOME/$DATA/.dropbox/DropboxCache
在默认状况下,木马会以JPEG的格式保存所有的文件,并且文件名中包含截屏的时间戳。如果在保存文件时出现错误,那么木马就会使用BPM图片格式。
所有的截屏都被上传到远程服务器中
Linux.Ekocms还会将所有的这些截屏按时通过代理上传到命令和控制服务器中。命令和控制服务器的IP地址硬编码在木马的源代码中。所有的文件都是通过加密连接发送的,所以第三方逆向工程工具都很难发现这个木马的操作情况。
即便代码库中显示有音频录制功能,但这个功能在木马的正常运行中从未被激活。在目前的情况下,Linux.Ekoms是一种强大的侦察工具,攻击者可以了解到用户的日常活动和所访问的站点。
Dr. Web并未披露这款恶意软件感染Linux电脑的详情。