Linux系统木马.Ekocms会录屏

乌克兰杀软生产商Dr.Web前不久发觉了Linux网站新式病毒Linux.Ekocms.1。现阶段从捕获的病毒样版看来，该病毒可以手机截图和录屏音频文件，并发给远程服务器。

Linux新式病毒Ekocms出現，会手机截图、音频

新式病毒能够手机截图工作

该新式病毒Linux.Ekocms于数天前被发觉，Linux.Ekocms现阶段关键威协运作Linux体系的计算机用户，在上年故意敲诈系统Linux.Encoder.3及其Linux XOR DDoS早已导致了许多难题。

Linux.Encoder，关键对于寄放网址或是编码库房的网页开发坏境。如果受害者的Linux设备里运作Linux.Encoder.3。并实行完成，这个病毒会在/home、/root、/var/lib/mysql这好多个文件名下开展遍历文档，尝试加锁里边的文档內容。如Windows下的勒索软件相同，它会应用AES(某对应点密匙加密算法)对这种文档內容开展加锁，这期内并不容易对电脑资源占有过大。

这一AES对应点密匙用到RSA(某非对称加密算法)加锁，随后用AES复位的向量去加密文件。如果这种文档被加锁，病毒会试着蔓延到体系主目录。它只必须绕过关键的系统文件，因此加锁后的操作系统是可以没问题起动的。之后安会探讨工作员发觉了1个木马病毒，能够修复被加锁的文档，并且不用付款保释金。根据对编码的剖析所知该勒索软件必须得到root级別的限权。

Linux XOR DDoS关键根据感柒32位和64位的Linux体系，根据安裝rootkit来掩藏本身，并可根据DDoS进攻产生僵尸网络。

依据Dr.Web的叙述，这类新式病毒应属间谍软件家簇的一名，一起这一病毒能在被感柒笔记本中开展手机截图工作，每过30秒开展多次，随后发送给远程服务器。这种截屏都先储存在2个同样的我的文档中，但假如这种我的文档找不到，病毒会在必须的当时自身建立。你的Linux没安装杀毒软件，能够立即到下列2个我的文档贝盛确定你是不是早已被感柒该病毒：

- $HOME/$DATA/.mozilla/firefox/profiled

- $HOME/$DATA/.dropbox/DropboxCache

实际关键点还未表露

手机截图的图片文件格式在初始状况下以JPEG，文件夹名称包括手机截图時间。当你的笔记本不可以储存该文件类型的照片，病毒用到BPM文件类型储存截屏。Linux.Ekocms必须每季度文件上传，关键根据1个网络代理联接c&c虚拟主机，故意网络攻击在病毒的编码里硬编号写上C&C虚拟主机的IP地址，全部截屏会被加锁上传入远程服务器，因而外部道具要想应用反方向道具破译病毒形为，也存有必须难易度。

现阶段看来，Linux.Ekocms是这款搜集消息的病毒道具，容许网络攻击获得目的服务器的上网行为。但现阶段Dr.Web安会专业人士并沒有表露该病毒是怎样保持感柒Linux体系客户的方法。