Специалисты «Лаборатории Касперского» сообщили об обнаружении «брата-близнеца» трояна Linux.Ekocms, который ранее был найден экспертами компании «Доктор Веб». В классификации «Лаборатории Касперского» малварь, ориентированная на Linux системы, получила имя Backdoor.Linux.Mokes.a. Но согласно новому отчету, у вредоноса также имеется и версия для Windows.
В конце января сотрудники компании «Доктор Веб» сообщили об обнаружении трояна Linux.Ekoms.1. Малварь не только делает снимки экрана жертвы с определенной периодичностью, но способна загружать на зараженную машину различные файлы.
Чуть позже компании Sophos и «Лаборатория Касперского» также идентифицировали новую угрозу, дав ей названия Linux/Mokes-A и Backdoor.Linux.Mokes.a, соответственно.
Но оказалось, что атаками на пользователей Linux дело не ограничивается. В новом аналитическом отчете «Лаборатории Касперского» сообщается, что специалисты компании обнаружили 32-битную Windows-версию трояна.
В целом, принцип работы Windows-версии трояна схож с работой его Linux-двойника. Разумеется, в коде есть некоторые модификации, отражающие специфику работы ОС, но их нельзя назвать существенными. Принцип работы остался прежним: троян случайным образом выбирает для установки одну из девяти локаций в %AppData%, связывается с командным сервером через определенные промежутки времени и шпионит за своей жертвой, сохраняя все собранные данные локально, для последующей передачи на сервер злоумышленников.
Основных отличий от версии для Linux два: в Windows-версии малвари включена функция кейлоггера, то есть все нажатия клавиш протоколируются и сохраняются в лог. Напомню, что Linux-версия трояна тоже содержала данный компонент, но он был отключен в обнаруженных специалистами образцах. Второе отличие, делающее версию для Windows более опасной: вредонос использует украденные сертификаты Comodo, чтобы заставить систему поверить, что он является легитимным и безопасным приложением из доверенного источника (см. иллюстрацию выше).
Чуть позже в отчете появилось дополнение, гласящее, что компания обнаружила еще одну разновидность трояна: Backdoor.Win32.Mokes.imw. Этот образец может похвастаться еще и включенной функцией звукозаписи, которая тоже неактивна в версии для Linux. Каждые пять минут малварь создает новый аудиофайл.
Троян написан на C++ и Qt, так что, теоретически, где-то может существовать и версия для Mac OS X, ведь операционная система компании Apple тоже поддерживается.
