Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Linux.Ekoms.1

Added to the Dr.Web virus database:2016-01-15
Virus description added:

SHA1:

  • 3790284950a986bc28c76b5534bfe9cea1dd78b0

Ce malware ciblant Linux a été conçu pour effectuer des captures d’écran toutes les 30 secondes. Il peut charger le dossier /tmp sur le serveur et télécharger différents fichiers sur commande des cybercriminels.

Une fois lancé, il vérifie les fichiers suivants:

  • $HOME/$DATA/.mozilla/firefox/profiled
  • $HOME/$DATA/.dropbox/DropboxCache

où $DATA = QStandardPaths::writableLocation(QStandardPaths::GenericDataLocation)

Si les fichiers indiqués ne sont pas trouvés, le Trojan sauvegarde sa propre copie nommée comme l’un des fichiers choisi au hasard. Puis la copie est lancée depuis un nouveau répertoire. Le corps du Trojan contient une clé RSA utilisée pour obtenir la clé de la session AES. Si le lancement fonctionne, Linux.Ekoms.1 se connecte au serveur dont les adresses sont codées en dur (hard-coded) dans son corps. Toutes les données transmises entre le serveur et Linux.Ekoms.1 sont chiffrées. Le chiffrement est initialement effectué en utilisant la clé publique ; et le déchiffrement est exécuté en appliquant la fonction RSA_public_decrypt aux données reçues.

Le Trojan échange des données avec le serveur en utilisant AbNetworkMessage. La ligne id détermine les actions exécutées :

idAction effectuée
0xff9cInstalle la clé AES.
0xff9bConfigure un proxy pour la connexion au serveur.
0xff93Créé un objet downloader. Le corps du message contient transactionId. Un fichier nommé au hasard est créé.
0xff92Le corps du fichier et transactionId sont envoyés. Puis le fichier est sauvegardé et le downloader est supprimé.
0xff94 Lance onCommand, qui, en retour, créée l’objet SearchAndUploadFiles. Il est probable que cette fonction ne soit pas implémentée car la méthode run() lancée dans un nouveau thread retourne le contrôle immédiatement.
0xff98Reçu comme la réponse à la requête UploadRequest envoyée par le Trojan.
0xff97UploadStatus.
0xff99OnBotServiceControl. Met un service spécifique sur on/off.
0xff9ainfoClassesRequest. Envoie le statut des services.

UploadRequest créé le thread séparé AbUploaderThread où tous les fichiers du dossier /tmp sont chargés sur le serveur. Le chemin complet vers ces fichiers utilise plus de 31 octets.

Le Trojan lance les services suivants :

EkomsAutorun:

Il sauvegarde les données suivantes dans le fichier $HOME/.config/autostart/%exename%.desktop :

[Desktop Entry]
Type=Application
Name=%exename%
Exec=%pathtoexe%
Terminal=false

Ensuite, il recherche sans cesse le fichier. S’il ne le trouve pas, le fichier est de nouveau créé.

EkomsUserActivity:

Le service effectue une capture d’écran toutes les 30 secondes et les sauvegarde dans un dossier temporaire au format JPEG avec un nom au format ss%d-%s.sst, où %s est un horodateur. Si le fichier n’est pas sauvegardé, le Trojan tente de le sauver au format BMP.

EkomsCcClient:

Génère une liste de filtrage des fichiers "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst” qui sont recherchés dans la localisation temporaire et charge les fichiers qui correspondent à ces critères sur le serveur. Si la réponse est la ligne uninstall, Linux.Ekoms.1 télécharge le fichier exécutable /tmp/ccXXXXXX.exe sur le serveur, le sauvegarde dans le dossier temporaire et le lance.

En plus de ses capacités à effectuer des captures d’écran, le Trojan possède la classe spéciale AbAudioCapture pour enregistrer le son et le sauvegarder avec le nom aa-%d-%s.aat au format WAV. Cependant, cette fonction n’est utilisée nulle part.

News sur le Trojan

Recommandations pour le traitement


Linux

Veuillez lancer le scan complet de toutes les partitions du disque à l'aide de Dr.Web Antivirus pour Linux.

Version démo gratuite

Pour 1 mois (sans enregistrement) ou 3 mois (avec enregistrement et remise pour le renouvellement)

Télécharger Dr.Web

Par le numéro de série

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg