俄羅斯殺軟廠商dr.web近日發現了linux平台新型木馬linux.ekocms.1。目前從截獲的木馬樣本來看,該木馬能夠截圖和錄製音訊檔案,並傳送給遠端伺服器。
新型木馬可以截圖作業
該新型木馬linux.ekocms於數日前被發現,linux.ekocms目前主要威脅執行linux系統的計算機使用者,在去年惡意勒索程式linux.encoder.1以及linux xor ddos已經造成了不少問題。
linux.encoder,主要針對寄存**或者**倉庫的網頁開發環境。一旦受害人的linux機器裡執行linux.encoder.1。並執行成功,這款木馬會在/home、/root、/var/lib/mysql這幾個目錄下進行遍歷檔案,試圖加密裡面的檔案內容。如windows下的勒索軟體一樣,它會使用aes(某對稱金鑰加密演算法)對這些檔案內容進行加密,這期間並不會對系統資源占用過大。
這個aes對稱金鑰會用rsa(某非對稱加密演算法)加密,然後用aes初始化的向量去加密檔案。一旦這些檔案被加密,木馬會嘗試蔓延到系統根目錄。它只需要跳過重要的系統檔案,所以加密後的作業系統是能夠正常啟動的。後來安全研究人員發現了乙個漏洞,可以恢復被加密的檔案,而且不需要支付贖金。通過對**的分析可知該勒索軟體需要獲得root級別的許可權。
linux xor ddos主要通過感染32位和64位的linux系統,通過安裝rootkit來隱藏自身,並可通過ddos攻擊形成殭屍網路。
根據dr.web的描述,這種新型木馬屬於間諜軟體家族的一員,同時這個木馬能在被感染電腦中進行截圖作業,每隔30秒進行一次,然後發給遠端伺服器。這些截圖都先儲存在兩個相同的資料夾中,但如果這些資料夾不存在,木馬會在需要的時候自己建立。你的linux沒安裝防毒軟體,可以直接到以下兩個資料夾中來確認你是否已經被感染該木馬:
- $home/$data/.mozilla/firefox/profiled
- $home/$data/.dropbox/dropboxcache
具體細節還未透露
截圖的檔案格式在預設情況下為jpeg,檔名包含截圖時間。如果你的電腦不能儲存該格式的,木馬會用bpm格式儲存截圖。linux.ekocms需要定期上傳檔案,主要通過乙個網路**連線c&c伺服器,惡意攻擊者在木馬的**裡硬編碼寫上c&c伺服器的ip位址,所有截圖會被加密上傳到遠端伺服器,因此第三方工具要想使用反向工具破譯木馬行為,也存在一定難度。
目前來看,linux.ekocms是一款收集資訊的木馬工具,允許攻擊者獲取目標主機的上網行為。但目前dr.web安全專家並沒有透露該木馬是如何實現感染linux系統使用者的方式。
新型iOS木馬TinyV出現 攻擊越獄裝置
ios 裝置的安全一直為業界所重視,日前企業安全領域領導者 palo alto networks 撰文分析了最近幾個月所發現的新木馬 tinyv 在今年的 10 月份,palo alto 發現了乙個惡意的負載檔案瞄準了 ios 的越獄裝置,經過調查後發現,palo alto 認為該檔案屬於乙個名為 ...
linux 木馬自查
經檢測您的雲伺服器 120.26.100.39 存在惡意發包行為,目前已經持續6小時,需要您盡快排查您的安全隱患。如惡意發包行為持續,36小時內我們將關停您的主機6小時,請您務必重視。謝謝。如果自己不能解決,您可以購買我們的付費雲託管服務安全工程師會提您排查解決,服務內容包括 如排查伺服器web應用...
新型安卓木馬SpyNote生成器遭洩露
近日,palo alto networks 威脅情報團隊unit42 宣布發現一類新型安卓木馬spynote,該木馬可執行遠端入侵功能,其生成器近日在多個惡意軟體論壇上遭洩露。spynoted與知名的rat remote administration tools,rat 程式omnirat 和 dr...