Linux.Ekoms.1 : un nouveau cheval de Troie sous Linux

Par:
fredericmazue

jeu, 21/01/2016 - 11:03

Selon DrWeb, un nouveau cheval de Troie du nom de Linux.Ekoms.1 sévit sous Linux.

Ce malware fait une capture d'écran toutes les 30 secondes. Il semble donc s'intéresser plus particulièrement aux postes de travail. Les sauvegardes de ces captures sont faites dans un dossier temporaire, en JPEG ou BMP avec un nom de fichier au format ss%d-%s.sst, où %s est un horodateur.

Le malware transmet les captures d'écran effectuées à un serveur, au moyen d'une connexion cryptée. Pour cela Linux.Ekoms.1 contient une clé RSA. Il contient également l'adresse IP du serveur qui est codée en dur.

Linux.Ekoms.1 lance plusieurs démons sur la machine qu'il squatte : EkomsUserActivity EkomsCcClient et EkomsAutorun. Ce dernier sauvegarde des données faciles à détecter dans un fichier $HOME/.config/autostart/%exename%.desktop : 

[Desktop Entry]
Type=Application
Name=%exename%
Exec=%pathtoexe%
Terminal=false

Ce fichier est recherché sans cesse, et recréé si absent.

Par contre DrWeb ne donne aucune indication sur les moyens utilisés par Linux.Ekoms.1 pour infecter les systèmes.