pvl-online.kz » Новости » Зловред Linux.Ekoms.1 делает скриншоты и загружает файлы
Автор публикации: admin Просмотров: 170 Добавлен: 20-01-2016, 16:32 Комментарии: 0


Зловред Linux.Ekoms.1 делает скриншоты и загружает файлы
Вредоносная программа Linux.Ekoms.1 умеет с определенной периодичностью делать на инфицированном компьютере снимки экрана и загружать на зараженную машину различные файлы. К такому выводу пришли аналитики компании "Доктор Веб".

После своего запуска Linux.Ekoms.1 проверяет наличие в одной из подпапок домашней директории пользователя файлов с заранее заданными именами и при их отсутствии сохраняет собственную копию в одной из них (выбор осуществляется случайным образом), а затем запускается из новой локации. После успешного запуска троянец соединяется с одним из управляющих серверов, адреса которых "зашиты" в его теле. Все данные, которыми Linux.Ekoms.1 обменивается с управляющим центром, шифруются.

С периодичностью в 30 секунд троянец делает на зараженном компьютере снимок экрана (скриншот) и сохраняет его во временную папку в формате JPEG. Если поместить файл на диск по каким-либо причинам не удалось, Linux.Ekoms.1 пытается выполнить сохранение в формате BMP. Содержимое временной папки загружается на управляющий сервер по таймеру с определенными временными интервалами.

Один из создаваемых троянцем потоков в ОС Linux генерирует на инфицированном компьютере список фильтров для имен файлов вида "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst", поиск по которым осуществляется во временной папке, и загружает подходящие под эти критерии файлы на управляющий сервер. Если в ответ поступает строка uninstall, Linux.Ekoms.1 загружает с сервера злоумышленников исполняемый файл, сохраняет его во временную папку и запускает оттуда. Также троянец обладает возможностью загрузки с управляющего сервера других произвольных файлов и их сохранения на диске компьютера.

Помимо функции создания снимков экрана, в коде троянца присутствует специальный механизм, позволяющий записывать звук и сохранять полученную запись в файл с расширением .aat в формате WAV, но практически эта возможность нигде не используется.


Рейтинг:

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

    
Другие статьи по теме:
Компания "Доктор Веб" предупредила о распространении троянца-шифровальщика, способного заражать операционные системы семейства Linux. Главная мишень вирусописателей - администраторы сайтов, на машине которых развернут собственный веб-сервер. Обнаруженная угроза внесена в вирусную базу компании "Доктор Веб" как Linux.Encoder.1. После запуска с правами администратора троянец загружает файлы с требованиями вирусописателей и файл, содержащий путь до публичного RSA-ключа, после чего запускает себя


Новый троянец Linux.BackDoor.Xunpes.1 имеет широкий спектр возможностей, среди которых функции загрузки на инфицированное устройство различных файлов, выполнение операций с файловыми объектами, создание снимков экрана, отслеживание нажатий клавиш. Анализ бэкдора провела компания "Доктор Веб". Троянец состоит из дроппера и собственно бэкдора, выполняющего на зараженном устройстве основные шпионские функции. Дроппер написан с использованием открытой среды разработки Lazarus для компилятора Free


Компания "Доктор Веб" обнаружила нового представителя троянцев для операционных систем семейства Linux. Linux.Ellipsis.1 отличается параноидальным поведением на зараженном компьютере. Вирус был разработан злоумышленниками для создания на атакованной машине прокси-сервера, однако этот образец отличается от других вредоносных программ для ОС Linux своеобразным поведением. На сегодняшний день известно, что киберпреступники используют прокси-сервер в целях обеспечения собственной анонимности для


Специалисты компании "Доктор Веб" обнаружили троянца-бэкдора, предназначенного для кражи документов и шпионажа. Угрожающий пользователям Microsoft Windows троянец BackDoor.Apper.1 распространяется с помощью дроппера, который представляет собой документ Microsoft Excel, содержащий специальный макрос. Этот макрос собирает по байтам и запускает самораспаковывающийся архив. Архив, в свою очередь, содержит исполняемый файл, имеющий действительную цифровую подпись компании Symantec, и динамическую


Укоренившееся в сознании некоторых пользователей мнение о том, что для операционных систем, построенных на базе ядра Linux, на сегодняшний день не существует серьезных угроз, все чаще подвергается испытаниям на прочность...





Fatal error: Call to undefined function htracer_ob_end() in /var/www/pvl/data/www/pvl-online.kz/index.php on line 289