设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

Linux新型木马Ekocms出现,会截屏、录音

2016-1-20 09:26| 发布者: 随便、先森。| 查看: 1053| 评论: 0|来自: FreeBuf

摘要: 俄罗斯杀软厂商Dr.Web近日发现了Linux平台新型木马Linux.Ekocms.1。目前从截获的木马样本来看,该木马能够截屏和录制音频文件,并发送给远程服务器。新型木马可以截屏作业该新型木马Linux.Ekocms于数日前被发现,Lin ...

俄罗斯杀软厂商Dr.Web近日发现了Linux平台新型木马Linux.Ekocms.1。目前从截获的木马样本来看,该木马能够截屏和录制音频文件,并发送给远程服务器。

新型木马可以截屏作业

该新型木马Linux.Ekocms于数日前被发现,Linux.Ekocms目前主要威胁运行Linux系统的计算机用户,在去年恶意勒索程序Linux.Encoder.1以及Linux XOR DDoS已经造成了不少问题。

Linux.Encoder,主要针对寄存网站或者代码仓库的网页开发环境。一旦受害人的Linux机器里运行Linux.Encoder.1。并执行成功,这款木马会在/home、/root、/var/lib/mysql这几个目录下进行遍历文件,试图加密里面的文件内容。如Windows下的勒索软件一样,它会使用AES(某对称密钥加密算法)对这些文件内容进行加密,这期间并不会对系统资源占用过大。

这个AES对称密钥会用RSA(某非对称加密算法)加密,然后用AES初始化的向量去加密文件。一旦这些文件被加密,木马会尝试蔓延到系统根目录。它只需要跳过重要的系统文件,所以加密后的操作系统是能够正常启动的。后来安全研究人员发现了一个漏洞,可以恢复被加密的文件,而且不需要支付赎金。通过对代码的分析可知该勒索软件需要获得root级别的权限。

Linux XOR DDoS主要通过感染32位和64位的Linux系统,通过安装rootkit来隐藏自身,并可通过DDoS攻击形成僵尸网络。

根据Dr.Web的描述,这种新型木马属于间谍软件家族的一员,同时这个木马能在被感染电脑中进行截屏作业,每隔30秒进行一次,然后发给远程服务器。这些截图都先保存在两个相同的文件夹中,但如果这些文件夹不存在,木马会在需要的时候自己创建。你的Linux没安装杀毒软件,可以直接到以下两个文件夹中来确认你是否已经被感染该木马:

- $HOME/$DATA/.mozilla/firefox/profiled
- $HOME/$DATA/.dropbox/DropboxCache

具体细节还未透露

截屏的图片文件格式在默认情况下为JPEG,文件名包含截屏时间。如果你的电脑不能保存该格式的图片,木马会用BPM格式保存截图。Linux.Ekocms需要定期上传文件,主要通过一个网络代理连接c&c服务器,恶意攻击者在木马的代码里硬编码写上C&C服务器的IP地址,所有截图会被加密上传到远程服务器,因此第三方工具要想使用反向工具破译木马行为,也存在一定难度。

目前来看,Linux.Ekocms是一款收集信息的木马工具,允许攻击者获取目标主机的上网行为。但目前Dr.Web安全专家并没有透露该木马是如何实现感染Linux系统用户的方式。

*参考来源:securityweeksoftpedia,FB小编亲爱的兔子编译


鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部