Linux新型木馬Ekocms出現，會截屏、錄音

俄羅斯殺軟廠商Dr.Web近日發現了Linux平臺新型木馬Linux.Ekocms.1。目前從截獲的木馬樣本來看，該木馬能夠截屏和錄制音頻文件，并發送給遠程服務器。

新型木馬可以截屏作業

該新型木馬 Linux.Ekocms 于數日前被發現，Linux.Ekocms目前主要威脅運行Linux系統的計算機用戶，在去年惡意勒索程序Linux.Encoder.1以及Linux XOR DDoS已經造成了不少問題。

Linux.Encoder，主要針對寄存網站或者代碼倉庫的網頁開發環境。一旦受害人的Linux機器里運行Linux.Encoder.1。并執行成功，這款木馬會在/home、/root、/var/lib/mysql這幾個目錄下進行遍歷文件，試圖加密里面的文件內容。如Windows下的勒索軟件一樣，它會使用AES（某對稱密鑰加密算法）對這些文件內容進行加密，這期間并不會對系統資源占用過大。

這個AES對稱密鑰會用RSA（某非對稱加密算法）加密，然后用AES初始化的向量去加密文件。一旦這些文件被加密，木馬會嘗試蔓延到系統根目錄。它只需要跳過重要的系統文件，所以加密后的操作系統是能夠正常啟動的。后來安全研究人員發現了一個漏洞，可以恢復被加密的文件，而且不需要支付贖金。通過對代碼的分析可知該勒索軟件需要獲得root級別的權限。

Linux XOR DDoS主要通過感染32位和64位的Linux系統，通過安裝rootkit來隱藏自身，并可通過DDoS攻擊形成僵尸網絡。

根據Dr.Web的描述，這種新型木馬屬于間諜軟件家族的一員，同時這個木馬能在被感染電腦中進行截屏作業，每隔30秒進行一次，然后發給遠程服務器。這些截圖都先保存在兩個相同的文件夾中，但如果這些文件夾不存在，木馬會在需要的時候自己創建。你的Linux沒安裝殺毒軟件，可以直接到以下兩個文件夾中來確認你是否已經被感染該木馬：

- $HOME/$DATA/.mozilla/firefox/profiled
- $HOME/$DATA/.dropbox/DropboxCache

具體細節還未透露

截屏的圖片文件格式在默認情況下為JPEG，文件名包含截屏時間。如果你的電腦不能保存該格式的圖片，木馬會用BPM格式保存截圖。 Linux.Ekocms 需要定期上傳文件，主要通過一個網絡代理連接c&c服務器，惡意攻擊者在木馬的代碼里硬編碼寫上C&C服務器的IP地址，所有截圖會被加密上傳到遠程服務器，因此第三方工具要想使用反向工具破譯木馬行為，也存在一定難度。

目前來看，Linux.Ekocms是一款收集信息的木馬工具，允許攻擊者獲取目標主機的上網行為。但目前Dr.Web安全專家并沒有透露該木馬是如何實現感染Linux系統用戶的方式。

*參考來源： securityweek 、 softpedia ，FB小編親愛的兔子編譯，轉載請注明來自FreeBuf黑客與極客（FreeBuf.COM)