俄羅斯殺軟廠商Dr.Web近日發(fā)現(xiàn)了Linux平臺(tái)新型木馬Linux.Ekocms.1。目前從截獲的木馬樣本來(lái)看，該木馬能夠截屏和錄制音頻文件，并發(fā)送給遠(yuǎn)程服務(wù)器。

新型木馬可以截屏作業(yè)

該新型木馬Linux.Ekocms于數(shù)日前被發(fā)現(xiàn)，Linux.Ekocms目前主要威脅運(yùn)行Linux系統(tǒng)的計(jì)算機(jī)用戶，在去年惡意勒索程序Linux.Encoder.1以及Linux XOR DDoS已經(jīng)造成了不少問(wèn)題。

Linux.Encoder，主要針對(duì)寄存網(wǎng)站或者代碼倉(cāng)庫(kù)的網(wǎng)頁(yè)開(kāi)發(fā)環(huán)境。一旦受害人的Linux機(jī)器里運(yùn)行Linux.Encoder.1。并執(zhí)行成功，這款木馬會(huì)在/home、/root、/var/lib/mysql這幾個(gè)目錄下進(jìn)行遍歷文件，試圖加密里面的文件內(nèi)容。如Windows下的勒索軟件一樣，它會(huì)使用AES(某對(duì)稱密鑰加密算法)對(duì)這些文件內(nèi)容進(jìn)行加密，這期間并不會(huì)對(duì)系統(tǒng)資源占用過(guò)大。

這個(gè)AES對(duì)稱密鑰會(huì)用RSA(某非對(duì)稱加密算法)加密，然后用AES初始化的向量去加密文件。一旦這些文件被加密，木馬會(huì)嘗試蔓延到系統(tǒng)根目錄。它只需要跳過(guò)重要的系統(tǒng)文件，所以加密后的操作系統(tǒng)是能夠正常啟動(dòng)的。后來(lái)安全研究人員發(fā)現(xiàn)了一個(gè)漏洞，可以恢復(fù)被加密的文件，而且不需要支付贖金。通過(guò)對(duì)代碼的分析可知該勒索軟件需要獲得root級(jí)別的權(quán)限。

Linux XOR DDoS主要通過(guò)感染32位和64位的Linux系統(tǒng)，通過(guò)安裝rootkit來(lái)隱藏自身，并可通過(guò)DDoS攻擊形成僵尸網(wǎng)絡(luò)。

根據(jù)Dr.Web的描述，這種新型木馬屬于間諜軟件家族的一員，同時(shí)這個(gè)木馬能在被感染電腦中進(jìn)行截屏作業(yè)，每隔30秒進(jìn)行一次，然后發(fā)給遠(yuǎn)程服務(wù)器。這些截圖都先保存在兩個(gè)相同的文件夾中，但如果這些文件夾不存在，木馬會(huì)在需要的時(shí)候自己創(chuàng)建。你的Linux沒(méi)安裝殺毒軟件，可以直接到以下兩個(gè)文件夾中來(lái)確認(rèn)你是否已經(jīng)被感染該木馬：

- $HOME/$DATA/.mozilla/firefox/profiled

- $HOME/$DATA/.dropbox/DropboxCache

具體細(xì)節(jié)還未透露

截屏的圖片文件格式在默認(rèn)情況下為JPEG，文件名包含截屏?xí)r間。如果你的電腦不能保存該格式的圖片，木馬會(huì)用BPM格式保存截圖。Linux.Ekocms需要定期上傳文件，主要通過(guò)一個(gè)網(wǎng)絡(luò)代理連接c&c服務(wù)器，惡意攻擊者在木馬的代碼里硬編碼寫(xiě)上C&C服務(wù)器的IP地址，所有截圖會(huì)被加密上傳到遠(yuǎn)程服務(wù)器，因此第三方工具要想使用反向工具破譯木馬行為，也存在一定難度。

目前來(lái)看，Linux.Ekocms是一款收集信息的木馬工具，允許攻擊者獲取目標(biāo)主機(jī)的上網(wǎng)行為。但目前Dr.Web安全專家并沒(méi)有透露該木馬是如何實(shí)現(xiàn)感染Linux系統(tǒng)用戶的方式。