Ιός κατασκοπεύει το PC σας+τραβά screenshots | Δείτε αν έχετε μολυνθεί

Το Trojan λαμβάνει screenshots κάθε 30 δευτερόλεπτα

Η Dr.Web, μια ρωσική εταιρεία κατασκευής antivirus, προειδοποιεί τους χρήστες για μια νέα απειλή με την ονομασία “Ekocms.1”, η οποία στοχεύει συστήματα Linux.

Όπως επισημαίνουν οι ερευνητές, το Τrojan Linux.Ekocms.1 είναι ιδιαίτερα εξελιγμένο και περιλαμβάνει ειδικά χαρακτηριστικά που του επιτρέπουν τη λήψη screenshots, αλλά και την εγγραφή ήχου.

Έχοντας ανακαλυφθεί μόλις πριν από τέσσερις ημέρες, το Linux.Ekocms αποτελεί την πιο πρόσφατη απειλή έναντι συστημάτων Linux, μετά την οικογένεια ransomware Linux.Encoder και το κακόβουλο λογισμικό Linux XOR DDoS, τα οποία είχαν προκαλέσει μεγάλο αριθμό μολύνσεων το περασμένο φθινόπωρο, “τσαλακώνοντας” τη φήμη των Linux, που έχουν καθιερωθεί ως  “αδιαπέραστο” από malware λειτουργικό.

(!) To Linux.Ekocms λαμβάνει ένα screenshot κάθε 30 δευτερόλεπτα

Σύμφωνα με την Dr.Web, το συγκεκριμένο trojan ανήκει στα spyware και είναι ειδικά κατασκευασμένο ώστε να λαμβάνει ένα στιγμιότυπο από την επιφάνεια εργασίας του χρήστη, κάθε 30 δευτερόλεπτα.

Στις περισσότερες περιπτώσεις, τα αρχεία των screenshots αποθηκεύονται σε δύο συγκεκριμένους φακέλους, αλλά αν οι φάκελοι αυτοί δεν υπάρχουν το trojan δημιουργεί τους δικούς του όποτε χρειαστεί.

(!) Πως να ελέγξετε εάν έχετε μολυνθεί

Εάν δεν έχετε κάποια λύση antivirus εγκατεστημένη στον υπολογιστή σας, μπορείτε να ελέγξετε αν έχετε πέσει θύμα του Linux.Ekocms, ελέγχοντας τους παρακάτω δύο φακέλους για τον εντοπισμό τυχόν screenshots:

– $HOME/$DATA/.mozilla/firefox/profiled

– $HOME/$DATA/.dropbox/DropboxCache

Ως προεπιλογή, το trojan αποθηκεύει όλα τα αρχεία σε μορφή JPEG στους παραπάνω φακέλους, ενώ το όνομα των αρχείων περιλαμβάνει τον ακριβή χρόνο λήψης του screenshot. Αν προκύψει οποιοδήποτε σφάλμα κατά την αποθήκευση του αρχείου, το trojan χρησιμοποιεί εικόνες τύπου BMP.

Όλα τα screenshots αποστέλλονται σε έναν απομακρυσμένο server

To Linux.Ekocms ανεβάζει όλα τα screenshots που λαμβάνει -σε τακτά χρονικά διαστήματα- στο διακομιστή διοίκησης και ελέγχου (C&C) μέσω ενός proxy. Η διεύθυνση IP του C & C εξυπηρετητή είναι κωδικοποιημένη στο πηγαίο κώδικα του Trojan. Όλα τα αρχεία αποστέλλονται μέσω κρυπτογραφημένης σύνδεσης, με αποτέλεσμα τα εργαλεία reverse engineering να δυσκολεύονται να αναλύσουν τις λειτουργίες του Trojan.

Παρά την παρουσία δυνατότητας εγγραφής ήχου στο κομμάτι του κώδικά του, η Dr.Web αναφέρει ότι η συγκεκριμένη λειτουργικότητα δεν ήταν ποτέ ενεργή στην κανονική λειτουργία του Trojan.

Στην τρέχουσα μορφή του, το Linux.Ekocms είναι ένα ισχυρό εργαλείο παρακολούθησης, το οποίο επιτρέπει στους επιτιθέμενους να αναλύσουν τα εργαλεία που ένας χρήστης Linux χρησιμοποιεί σε καθημερινή βάση και τις ιστοσελίδα που αυτός επισκέπτεται.