Специалисты компании «Доктор Веб» обнаружили еще один вредонос, нацеленный на пользователей Linux. Троян Linux.Ekoms.1 не только делает снимки экрана с определенной периодичностью, то есть следит за пользователем, но также способен загружать на зараженную машину различные файлы.
Хотя в последнее время большой популярностью у злоумышленников пользуются шифровальщики и вымогательское ПО, другие типы вредоносов тоже продолжают появляться. На данный момент Linux.Ekoms.1 похож на образчик обычной spyware, хотя обладает и другими функциями. После запуска Linux.Ekoms.1 проверяет наличие в одной из подпапок домашней директории пользователя файлов с заранее заданными именами. В случае их отсутствия — сохраняет собственную копию в одной из подпапок (выбор осуществляется случайным образом), а затем запускается из новой локации.
Анализ показал, что с периодичностью раз в 30 секунд троян делает на зараженном компьютере скриншот и сохраняет его во временную папку в формате JPEG. Если сохранить файл на диск по каким-либо причинам не удалось, Linux.Ekoms.1 пытается выполнить сохранение в формате BMP. Содержимое этой временной папки передается на командный сервер по таймеру с определенными временными интервалами. Сообщается, что помимо функции создания снимков экрана в коде малвари наличествует механизм, позволяющий записывать звук и сохранять полученную запись в файл с расширением .aat в формате WAV. Однако эта функция практически не используется.
Все данные, которыми Linux.Ekoms.1 обменивается с управляющим центром, шифруются. Если от C&C сервера приходит ответ uninstall, троян загружает с сервера исполняемый файл, сохраняет его во временную папку и запускает. Также малварь обладает возможностью загрузки произвольных файлов и их сохранения на диске компьютера.
Кроме того, Linux.Ekoms.1 периодически ищет в своей временной директории файлы с определенными именами и расширениями. В частности, малварь проверяет наличие файлов .aat и .sst, предназначенных для хранения аудиофайлов и скришотов, а также файлов .ddt и .kkt, что может свидетельствовать о том, что авторы вредоноса охотятся и за другими типами контента. Судя по тому, что некоторые функции вредоноса пока не используются, можно предположить, что малварь находится на стадии разработки.
