2016年1月19日

株式会社Doctor Web Pacific

Linuxを標的とするマルウェアは次第に多様化し、スパイウェア、ランサムウェア、そしてDDoS攻撃を行うトロイの木馬が登場しています。Doctor Web では、Linux.Ekoms.1と名付けられた新たなトロイの木馬について分析を行いました。このトロイの木馬は定期的にスクリーンショットを撮り、感染したシステム上に様々なファイルをダウンロードします。

Linux.Ekoms.1 は起動されるとホームディレクトリ内のサブフォルダに、ある特定の名前の付いたファイルが含まれていないかどうかを確認します。ファイルが見つからなかった場合、サブフォルダをランダムに選択し、そこに自身のコピーを保存します。次に、その新しい場所からトロイの木馬が起動されます。起動に成功すると、ボディ内にハードコードされたアドレスを持つコントロールサーバーとの接続を確立します。サーバーとLinux.Ekoms.1 との間でやり取りされる情報は全て暗号化されます。

Linux.Ekoms.1 は30秒ごとにスクリーンショットを撮り、それらをJPEG形式で一時フォルダ内に保存します。保存に失敗した場合はBMP形式での保存を試みます。一時フォルダは指定された間隔でサーバーにアップロードされます。

トロイの木馬によって作成されたシステムスレッドの1つが「aa*.aat」、「dd*ddt」、「kk*kkt」、「ss*sst」ファイルのフィルタリングリストを生成します。一時フォルダ内でこれらのファイルが検索され、基準に一致したファイルがサーバーにアップロードされます。サーバーからの応答がuninstall であった場合、Linux.Ekoms.1 はサーバーから実行ファイルをダウンロードして一時フォルダ内に保存し、それを起動させます。また、このトロイの木馬はその他複数のファイルをダウンロードし、コンピューター上に保存する機能を備えています。

スクリーンショットを撮る機能に加え、Linux.Ekoms.1 は音声を録音し、WAV形式の.aatファイルとして保存することができます。ただし、この機能は実際には使用されたことがありません。Dr.WebのウイルスデータベースにはLinux.Ekoms.1のシグネチャが追加されているため、ユーザーに被害が及ぶことはありません。