俄羅斯殺軟廠商Dr.Web近日發現了Linux平臺新型木馬Linux.Ekocms.1。目前從截獲的木馬樣本來看,該木馬能夠截屏和錄制音頻文件,并發送給遠程服務器。
新型木馬可以截屏作業
該新型木馬Linux.Ekocms于數日前被發現,Linux.Ekocms目前主要威脅運行Linux系統的計算機用戶,在去年惡意勒索程序Linux.Encoder.1以及Linux XOR DDoS已經造成了不少問題。
Linux.Encoder,主要針對寄存網站或者代碼倉庫的網頁開發環境。一旦受害人的Linux機器里運行Linux.Encoder.1。并執行成功,這款木馬會在/home、/root、/var/lib/mysql這幾個目錄下進行遍歷文件,試圖加密里面的文件內容。如Windows下的勒索軟件一樣,它會使用AES(某對稱密鑰加密算法)對這些文件內容進行加密,這期間并不會對系統資源占用過大。
這個AES對稱密鑰會用RSA(某非對稱加密算法)加密,然后用AES初始化的向量去加密文件。一旦這些文件被加密,木馬會嘗試蔓延到系統根目錄。它只需要跳過重要的系統文件,所以加密后的操作系統是能夠正常啟動的。后來安全研究人員發現了一個漏洞,可以恢復被加密的文件,而且不需要支付贖金。通過對代碼的分析可知該勒索軟件需要獲得root級別的權限。
Linux XOR DDoS主要通過感染32位和64位的Linux系統,通過安裝rootkit來隱藏自身,并可通過DDoS攻擊形成僵尸網絡。
根據Dr.Web的描述,這種新型木馬屬于間諜軟件家族的一員,同時這個木馬能在被感染電腦中進行截屏作業,每隔30秒進行一次,然后發給遠程服務器。這些截圖都先保存在兩個相同的文件夾中,但如果這些文件夾不存在,木馬會在需要的時候自己創建。你的Linux沒安裝殺毒軟件,可以直接到以下兩個文件夾中來確認你是否已經被感染該木馬:
- $HOME/$DATA/.mozilla/firefox/profiled
- $HOME/$DATA/.dropbox/DropboxCache
具體細節還未透露
截屏的圖片文件格式在默認情況下為JPEG,文件名包含截屏時間。如果你的電腦不能保存該格式的圖片,木馬會用BPM格式保存截圖。Linux.Ekocms需要定期上傳文件,主要通過一個網絡代理連接c&c服務器,惡意攻擊者在木馬的代碼里硬編碼寫上C&C服務器的IP地址,所有截圖會被加密上傳到遠程服務器,因此第三方工具要想使用反向工具破譯木馬行為,也存在一定難度。
目前來看,Linux.Ekocms是一款收集信息的木馬工具,允許攻擊者獲取目標主機的上網行為。但目前Dr.Web安全專家并沒有透露該木馬是如何實現感染Linux系統用戶的方式。
京公網安備 11010502049343號