2016年1月19日
株式会社Doctor Web Pacific
Linux.Ekoms.1 は起動されるとホームディレクトリ内のサブフォルダに、ある特定の名前の付いたファイルが含まれていないかどうかを確認します。ファイルが見つからなかった場合、サブフォルダをランダムに選択し、そこに自身のコピーを保存します。次に、その新しい場所からトロイの木馬が起動されます。起動に成功すると、ボディ内にハードコードされたアドレスを持つコントロールサーバーとの接続を確立します。サーバーとLinux.Ekoms.1 との間でやり取りされる情報は全て暗号化されます。
Linux.Ekoms.1 は30秒ごとにスクリーンショットを撮り、それらをJPEG形式で一時フォルダ内に保存します。保存に失敗した場合はBMP形式での保存を試みます。一時フォルダは指定された間隔でサーバーにアップロードされます。
トロイの木馬によって作成されたシステムスレッドの1つが「aa*.aat」、「dd*ddt」、「kk*kkt」、「ss*sst」ファイルのフィルタリングリストを生成します。一時フォルダ内でこれらのファイルが検索され、基準に一致したファイルがサーバーにアップロードされます。サーバーからの応答がuninstall であった場合、Linux.Ekoms.1 はサーバーから実行ファイルをダウンロードして一時フォルダ内に保存し、それを起動させます。また、このトロイの木馬はその他複数のファイルをダウンロードし、コンピューター上に保存する機能を備えています。
スクリーンショットを撮る機能に加え、Linux.Ekoms.1 は音声を録音し、WAV形式の.aatファイルとして保存することができます。ただし、この機能は実際には使用されたことがありません。Dr.WebのウイルスデータベースにはLinux.Ekoms.1のシグネチャが追加されているため、ユーザーに被害が及ぶことはありません。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments