俄羅斯殺軟廠商Dr.Web近日發(fā)現(xiàn)了Linux平臺新型木馬Linux.Ekocms.1。目前從截獲的木馬樣本來看，該木馬能夠截屏和錄制音頻文件，并發(fā)送給遠程服務(wù)器。

新型木馬可以截屏作業(yè)

該新型木馬Linux.Ekocms于數(shù)日前被發(fā)現(xiàn)，Linux.Ekocms目前主要威脅運行Linux系統(tǒng)的計算機用戶，在去年惡意勒索程序Linux.Encoder.1以及Linux XOR DDoS已經(jīng)造成了不少問題。

Linux.Encoder，主要針對寄存網(wǎng)站或者代碼倉庫的網(wǎng)頁開發(fā)環(huán)境。一旦受害人的Linux機器里運行Linux.Encoder.1。并執(zhí)行成功，這款木馬會在/home、/root、/var/lib/mysql這幾個目錄下進行遍歷文件，試圖加密里面的文件內(nèi)容。如Windows下的勒索軟件一樣，它會使用AES(某對稱密鑰加密算法)對這些文件內(nèi)容進行加密，這期間并不會對系統(tǒng)資源占用過大。

這個AES對稱密鑰會用RSA(某非對稱加密算法)加密，然后用AES初始化的向量去加密文件。一旦這些文件被加密，木馬會嘗試蔓延到系統(tǒng)根目錄。它只需要跳過重要的系統(tǒng)文件，所以加密后的操作系統(tǒng)是能夠正常啟動的。后來安全研究人員發(fā)現(xiàn)了一個漏洞，可以恢復被加密的文件，而且不需要支付贖金。通過對代碼的分析可知該勒索軟件需要獲得root級別的權(quán)限。

Linux XOR DDoS主要通過感染32位和64位的Linux系統(tǒng)，通過安裝rootkit來隱藏自身，并可通過DDoS攻擊形成僵尸網(wǎng)絡(luò)。

根據(jù)Dr.Web的描述，這種新型木馬屬于間諜軟件家族的一員，同時這個木馬能在被感染電腦中進行截屏作業(yè)，每隔30秒進行一次，然后發(fā)給遠程服務(wù)器。這些截圖都先保存在兩個相同的文件夾中，但如果這些文件夾不存在，木馬會在需要的時候自己創(chuàng)建。你的Linux沒安裝殺毒軟件，可以直接到以下兩個文件夾中來確認你是否已經(jīng)被感染該木馬：

- $HOME/$DATA/.mozilla/firefox/profiled

- $HOME/$DATA/.dropbox/DropboxCache

具體細節(jié)還未透露

截屏的圖片文件格式在默認情況下為JPEG，文件名包含截屏時間。如果你的電腦不能保存該格式的圖片，木馬會用BPM格式保存截圖。Linux.Ekocms需要定期上傳文件，主要通過一個網(wǎng)絡(luò)代理連接c&c服務(wù)器，惡意攻擊者在木馬的代碼里硬編碼寫上C&C服務(wù)器的IP地址，所有截圖會被加密上傳到遠程服務(wù)器，因此第三方工具要想使用反向工具破譯木馬行為，也存在一定難度。

目前來看，Linux.Ekocms是一款收集信息的木馬工具，允許攻擊者獲取目標主機的上網(wǎng)行為。但目前Dr.Web安全專家并沒有透露該木馬是如何實現(xiàn)感染Linux系統(tǒng)用戶的方式。