Защити созданное

Другие наши ресурсы

Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами

Профиль

Профиль

Linux.Ekoms.1

Добавлен в вирусную базу Dr.Web:2016-01-15
Описание добавлено:2016-01-18

SHA1:

  • 3790284950a986bc28c76b5534bfe9cea1dd78b0

Вредоносная программа для ОС Linux, предназначенная для создания снимков экрана на инфицированном компьютере с периодичностью 30 секунд. Может загружать на управляющий сервер содержимое папки /tmp. Также с сервера могут поступать команды на загрузку произвольных файлов.

После запуска проверяет наличие следующих файлов:

  • $HOME/$DATA/.mozilla/firefox/profiled
  • $HOME/$DATA/.dropbox/DropboxCache

где $DATA = QStandardPaths::writableLocation(QStandardPaths::GenericDataLocation)

Если указанные файлы не найдены, сохраняет свою копию в виде файла с одним из перечисленных выше имен, выбор осуществляется случайным образом. Затем сохраненная копия запускается из новой локации. В файле троянца содержится открытый ключ RSA, который используется при получении сессионного ключа для AES. После успешного запуска троянец соединяется с одним из управляющих серверов, адреса которых «зашиты» в его теле. Все данные, которыми Linux.Ekoms.1 обменивается с управляющим центром, шифруются: изначально троянец выполняет шифрование с использованием открытого ключа, а расшифровка осуществляется путем применения к полученным данным функции RSA_public_decrypt.

Обмен данными с управляющим сервером осуществляется путем пересылки сообщений AbNetworkMessage. Содержимое поля id определяет выполняемое действие:

idЧто делает
0xff9cУстановка ключа AES.
0xff9bУстановка прокси для соединения с сервером.
0xff93Создание объекта-загрузчика. В теле сообщения содержится transactionId. Создается файл со случайным именем.
0xff92Запись файла. Передается transactionId и тело самого файла. После этого происходит запись файла и удаление объекта-загрузчика.
0xff94 Запуск обработчика onCommand, который в свою очередь создает объект SearchAndUploadFiles, но, вероятно, эта функция не реализована, так как метод run(), запускаемый в новом потоке, сразу возвращает управление.
0xff98Приходит в ответ на отправляемый троянцем запрос UploadRequest.
0xff97UploadStatus.
0xff99OnBotServiceControl. Включить/выключить определенный сервис
0xff9ainfoClassesRequest. Выслать статус сервисов.

Запрос UploadRequest создает отдельный поток AbUploaderThread, в котором на сервер загружаются все файлы из папки /tmp, полный путь до которых занимает больше 31 байта.

Троянец запускает следующие сервисы:

EkomsAutorun:

сохраняет в файл $HOME/.config/autostart/%exename%.desktop следующие данные:

[Desktop Entry]
Type=Application
Name=%exename%
Exec=%pathtoexe%
Terminal=false

после чего в бесконечном цикле проверяет наличие данного файла, и, если не обнаруживает, то создает его снова.

EkomsUserActivity:

С периодичностью в 30 секунд делает на зараженном компьютере снимок экрана (скриншот) и сохраняет его во временную папку в формате JPEG в виде файла с именем в формате ss%d-%s.sst, где %s - временная отметка. Если поместить файл на диск по каким-либо причинам не удалось, Linux.Ekoms.1 пытается выполнить сохранение в формате BMP.

EkomsCcClient:

Создает фильтр для имен файлов вида "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst", поиск по которым осуществляется во временной папке, и загружает подходящие под эти критерии файлы на управляющий сервер. Если в ответ поступает строка uninstall, Linux.Ekoms.1 загружает с сервера злоумышленников исполняемый файл /tmp/ccXXXXXX.exe, сохраняет его во временную папку и запускает оттуда.

Помимо функции создания снимков экрана в коде троянца присутствует специальный класс AbAudioCapture, позволяющий записывать звук и сохранять полученную запись в файл с именем aa-%d-%s.aat, в формате WAV, но практически эта возможность нигде не используется.

Новость о троянце

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2018

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А