Специалисты «Лаборатории Касперского» сообщили об обнаружении «брата-близнеца» трояна Linux.Ekocms, который ранее был найден экспертами компании «Доктор Веб». В классификации «Лаборатории Касперского» малварь, ориентированная на Linux системы, получила имя Backdoor.Linux.Mokes.a. Но согласно новому отчету, у вредоноса также имеется и версия для Windows.

В конце января сотрудники компании «Доктор Веб» сообщили об обнаружении трояна Linux.Ekoms.1. Малварь не только делает снимки экрана жертвы с определенной периодичностью,  но способна загружать на зараженную машину различные файлы.

Чуть позже компании Sophos и «Лаборатория Касперского» также идентифицировали новую угрозу, дав ей названия Linux/Mokes-A и Backdoor.Linux.Mokes.a, соответственно.

Но оказалось, что атаками на пользователей Linux дело не ограничивается. В новом аналитическом отчете «Лаборатории Касперского» сообщается, что специалисты компании обнаружили 32-битную Windows-версию трояна.

В целом, принцип работы Windows-версии трояна схож с работой его Linux-двойника. Разумеется, в коде есть некоторые модификации, отражающие специфику работы ОС, но их нельзя назвать существенными. Принцип работы остался прежним: троян случайным образом выбирает для установки одну из девяти локаций в %AppData%, связывается с командным сервером через определенные промежутки времени и шпионит за своей жертвой, сохраняя все собранные данные локально, для последующей передачи на сервер злоумышленников.

ortloff_blog_Backdoor_Win32_Mokes_imv_Code_Signing_Cert_Name_Blacked

Основных отличий от версии для Linux два: в Windows-версии малвари включена функция кейлоггера, то есть все нажатия клавиш протоколируются и сохраняются в лог. Напомню, что Linux-версия трояна тоже содержала данный компонент, но он был отключен в обнаруженных специалистами образцах. Второе отличие, делающее версию для Windows более опасной: вредонос использует украденные сертификаты Comodo, чтобы заставить систему поверить, что он является легитимным и безопасным приложением из доверенного источника (см. иллюстрацию выше).

Чуть позже в отчете появилось дополнение, гласящее, что компания обнаружила еще одну разновидность трояна: Backdoor.Win32.Mokes.imw. Этот образец может похвастаться еще и включенной функцией звукозаписи, которая тоже неактивна в версии для Linux. Каждые пять минут малварь создает новый аудиофайл.

ortloff_blog_Backdoor_Win32_Mokes_imw_audio_capture__active

Троян написан на C++ и Qt, так что, теоретически, где-то может существовать и версия для Mac OS X, ведь операционная система компании Apple тоже поддерживается.



2 комментария

  1. vertus

    02.02.2016 at 17:45

    Обалдеть, Qt для троянов…

  2. vertus

    02.02.2016 at 17:46

    И тогда теоретически под угрозой еще и iOS и Android.

Оставить мнение