Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Volver a las noticias

Un troyano para Linux hace screenshots

19 de enero de 2016

Las posibilidades funcionales de programas nocivos para el SO Linux crecen cada día: entre los mismos hay programas espías, cifradores y troyanos destinados para organizar los ataques DDoS. Los analistas de virus de la empresa Doctor Web investigaron otra programa de los creadores de virus, llamado Linux.Ekoms.1, — este programa nocivo con periodicidad determinada puede hacer copias de pantalla en el equipo infectado y descargar varios archivos al equipo infectado.

Una vez iniciado, Linux.Ekoms.1 comprueba si en una de las subcarpetas del directorio de la carpeta particular del usuario hay archivos con nombres establecidos anteriormente y si no los hay, guarda su propia copia en una de las mismas (la selección se realiza de forma aleatoria), y luego se inicia desde la nueva ubicación. Una vez iniciado correctamente, el troyano se conecta al uno de los servidores administrativos cuyas direcciones están «hardwared» en su cuerpo. Todos los datos que Linux.Ekoms.1 intercambia con el centro administrativo, se cifran.

Con periodicidad de 30 segundos el troyano hace una copia de pantalla en el equipo infectado (un screenshot) y lo guarda en una carpeta temporal en formato JPEG. Si por alguna razón no se puede guardar el archivo en la unidad, Linux.Ekoms.1 intenta guardarlo en formato BMP. El contenido de la carpeta temporal se sube al servidor administrativo según el cronometro con intervalos temporales determinados.

Uno de los flujos generados por el troyano en el SO Linux genera en el equipo infectado un listado de filtros para nombres de archivos de tipo "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst"la búsqueda por los cuales se realiza en la carpeta temporal, y sube los archivos que corresponden a estos criterios al servidor administrativo. En caso de recibir de respuesta la línea uninstall, Linux.Ekoms.1 descarga desde el servidor de los malintencionados el archivo ejecutable, lo guarda en la carpeta temporal y lo inicia desde la misma. Así mismo, el troyano puede descargar desde el servidor administrativo otros archivos aleatorios y guardarlos en la unidad del equipo.

Además de la función de crear copias de pantalla, el código del troyano contiene un mecanismo específico que permite grabar el audio y guardar la grabación obtenida en un archivo con extensión .aat en formato WAV, pero en realizad esta posibilidad no se usa en ninguna parte. La firma de Linux.Ekoms.1 fue añadida a las bases de virus, por lo tanto, este troyano no supone peligro para los usuarios del Antivirus Dr.Web para Linux.

Nos importa su opinión

Por cada comentario se abona 1 punto Dr.Web. Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios

Desarrollador ruso de antivirus Dr.Web

Experiencia de desarrollo a partir del año 1992

Dr.Web se usa en más de 200 países del mundo

Entrega de antivirus como servicio a partir del año 2007

Soporte 24 horas

© Doctor Web
2003 — 2020

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125040, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А