19 de enero de 2016

Las posibilidades funcionales de programas nocivos para el SO Linux crecen cada día: entre los mismos hay programas espías, cifradores y troyanos destinados para organizar los ataques DDoS. Los analistas de virus de la empresa Doctor Web investigaron otra programa de los creadores de virus, llamado Linux.Ekoms.1, — este programa nocivo con periodicidad determinada puede hacer copias de pantalla en el equipo infectado y descargar varios archivos al equipo infectado.

Una vez iniciado, Linux.Ekoms.1 comprueba si en una de las subcarpetas del directorio de la carpeta particular del usuario hay archivos con nombres establecidos anteriormente y si no los hay, guarda su propia copia en una de las mismas (la selección se realiza de forma aleatoria), y luego se inicia desde la nueva ubicación. Una vez iniciado correctamente, el troyano se conecta al uno de los servidores administrativos cuyas direcciones están «hardwared» en su cuerpo. Todos los datos que Linux.Ekoms.1 intercambia con el centro administrativo, se cifran.

Con periodicidad de 30 segundos el troyano hace una copia de pantalla en el equipo infectado (un screenshot) y lo guarda en una carpeta temporal en formato JPEG. Si por alguna razón no se puede guardar el archivo en la unidad, Linux.Ekoms.1 intenta guardarlo en formato BMP. El contenido de la carpeta temporal se sube al servidor administrativo según el cronometro con intervalos temporales determinados.

Uno de los flujos generados por el troyano en el SO Linux genera en el equipo infectado un listado de filtros para nombres de archivos de tipo "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst"la búsqueda por los cuales se realiza en la carpeta temporal, y sube los archivos que corresponden a estos criterios al servidor administrativo. En caso de recibir de respuesta la línea uninstall, Linux.Ekoms.1 descarga desde el servidor de los malintencionados el archivo ejecutable, lo guarda en la carpeta temporal y lo inicia desde la misma. Así mismo, el troyano puede descargar desde el servidor administrativo otros archivos aleatorios y guardarlos en la unidad del equipo.

Además de la función de crear copias de pantalla, el código del troyano contiene un mecanismo específico que permite grabar el audio y guardar la grabación obtenida en un archivo con extensión .aat en formato WAV, pero en realizad esta posibilidad no se usa en ninguna parte. La firma de Linux.Ekoms.1 fue añadida a las bases de virus, por lo tanto, este troyano no supone peligro para los usuarios del Antivirus Dr.Web para Linux.