Trojan per Linux cattura schermate
19 gennaio 2016
Dopo l'avvio Linux.Ekoms.1 controlla in una sottocartella della directory home dell'utente la disponibilità dei file con i nomi prestabiliti e se tali file non ci sono, salva una sua copia in una sottocartella (selezionata in modo casuale) e quindi si avvia dal nuovo percorso. Successivamente il trojan si connette con uno dei server di gestione i cui indirizzi sono trascritti nel suo corpo. Sono cifrati tutti i dati che Linux.Ekoms.1 si scambia con il suo centro di comando.
Con una periodicità di 30 secondi il trojan cattura sul computer infetto una schermata (screenshot) e la salva nella cartella temporanea nel formato JPEG. Se per qualche motivo Linux.Ekoms.1 non ha potuto memorizzare il file su disco, cerca di salvarlo nel formato BMP. I contenuti della cartella temporanea vengono caricati sul server di gestione in base a un temporizzatore con determinati intervalli.
Uno dei flussi, creati dal trojan nell'SO Linux, genera una lista dei filtri dei nomi di file del tipo "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst" secondo cui viene effettuata una ricerca nella cartella temporanea, e carica i file che soddisfano questi criteri sul server di gestione. Se Linux.Ekoms.1 riceve dal server come risposta la stringa uninstall, scarica dal server un file eseguibile, lo salva nella cartella temporanea e lo avvia da questa cartella. Inoltre, il trojan ha la possibilità di scaricare dal server di gestione altri file di qualsiasi carattere e di salvarli su disco del computer.
Oltre alla funzione di cattura delle schermate, nel codice del trojan è previsto un specifico meccanismo che permette di registrare suoni e salvare la registrazione ottenuta in un file con l'estensione .aat nel formato WAV, ma questa funzione non si usa. La firma di Linux.Ekoms.1 è stata aggiunta ai database dei virus, dunque questo trojan non rappresenta alcun pericolo agli utenti dell'Antivirus Dr.Web per Linux.