俄罗斯杀毒软件厂商Dr.Web近日发现了一个游荡在Linux平台上的全新木马:Linux.Ekocms.1。从截获的木马样本来看,该木马能够截屏和录制音频文件,然后发送给远程服务器,具体来说,这个木马会对寄宿系统进行截屏操作,每隔30秒进行一次,然后发送给远程服务器,这些截图都会暂时保存在两个相同的文件夹中,如果发现这些文件夹不存在,木马会首先创建这个文件夹。
如果你的Linux没安装杀软,可以直接到以下两个文件夹中确认你是否已经被感染和截屏:
$HOME/$DATA/.mozilla/firefox/profiled $HOME/$DATA/.dropbox/DropboxCache
此木马默认截屏图片的文件格式为JPEG,文件名包含截屏时间,不仅如此,如果你的电脑不能保存该格式的图片,木马会转用BPM格式保存截图,这些截图会被加密上传到远程服务器,因此第三方工具要想使用反向工具破译木马行为,也存在一定难度,奇怪的是安全人员甚至在木马的代码中发现了音频录制操作的代码,然而这项功能却没有被使用过,当然大家也不必担心,既然Dr.Web已经发现了这个木马,那么这款杀毒软件就能在Linux平台上杀除Ekocms木马,因此感染这个木马的用户可以尝试用这款软件清理一下系统。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/99988.html