Троянец для Linux делает скриншоты

Александр Панасенко 19 Января 2016 - 18:01

...

Функциональные возможности вредоносных программ для ОС Linux расширяются день ото дня: среди них нередко встречаются программы-шпионы, шифровальщики и троянцы, предназначенные для организации DDoS-атак.

Вирусные аналитики компании «Доктор Веб» исследовали очередное творение вирусописателей, получившее наименование Linux.Ekoms.1, — эта вредоносная программа умеет с определенной периодичностью делать на инфицированном компьютере снимки экрана и загружать на зараженную машину различные файлы, сообщает news.drweb.ru.

После своего запуска Linux.Ekoms.1 проверяет наличие в одной из подпапок домашней директории пользователя файлов с заранее заданными именами и при их отсутствии сохраняет собственную копию в одной из них (выбор осуществляется случайным образом), а затем запускается из новой локации. После успешного запуска троянец соединяется с одним из управляющих серверов, адреса которых «зашиты» в его теле. Все данные, которымиLinux.Ekoms.1 обменивается с управляющим центром, шифруются.

С периодичностью в 30 секунд троянец делает на зараженном компьютере снимок экрана (скриншот) и сохраняет его во временную папку в формате JPEG. Если поместить файл на диск по каким-либо причинам не удалось,Linux.Ekoms.1 пытается выполнить сохранение в формате BMP. Содержимое временной папки загружается на управляющий сервер по таймеру с определенными временными интервалами.

Один из создаваемых троянцем потоков в ОС Linux генерирует на инфицированном компьютере список фильтров для имен файлов вида "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst", поиск по которым осуществляется во временной папке, и загружает подходящие под эти критерии файлы на управляющий сервер. Если в ответ поступает строка uninstall,Linux.Ekoms.1 загружает с сервера злоумышленников исполняемый файл, сохраняет его во временную папку и запускает оттуда. Также троянец обладает возможностью загрузки с управляющего сервера других произвольных файлов и их сохранения на диске компьютера.

Помимо функции создания снимков экрана в коде троянца присутствует специальный механизм, позволяющий записывать звук и сохранять полученную запись в файл с расширением .aat в формате WAV, но практически эта возможность нигде не используется. Сигнатура Linux.Ekoms.1 добавлена в вирусные базы, и потому этот троянец не представляет опасности для пользователей Антивируса Dr.Web для Linux.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Марта 2026 - 11:57

Кибервойны Целевые атаки Таргетированные атаки Государство

Кибер Серп заявил о взломе ключевой системы шифрования Украины

Пророссийская группировка «Кибер Серп» заявила о взломе инфраструктуры, связанной с шифрованием и цифровыми подписями в украинском госсекторе. По этой версии, атакующим удалось получить доступ к закрытым шифрам, исходным кодам и ключам, которые используются для межведомственного электронного документооборота.

Об этом сообщило РИА Новости со ссылкой на источник в группе. Если информация подтвердится, история действительно выглядит громко.

Источник агентства назвал атаку «взломом цифрового сердца Украины», утверждая, что скомпрометированная инфраструктура компании «Сайфер» использовалась для защищённого доступа госструктур, банков, поставщиков, а также для работы с базами госзакупок и электронных госуслуг. При этом независимого публичного подтверждения масштаба именно такого компрометирования на данный момент не видно.

Сама компания Cipher действительно работает на украинском рынке информационной безопасности и банковских технологий с 1995 года и позиционирует свои решения как используемые в банках, государственных и частных организациях.

Но на доступных страницах её сайта сейчас нет найденного мной публичного сообщения, которое бы прямо подтверждало именно такой масштабный взлом.

На этом фоне новость стоит воспринимать с осторожностью. Заявление о компрометации ключевой криптографической инфраструктуры — это уже не просто «ещё один взлом сайта», а история с потенциально очень серьёзными последствиями для электронного документооборота и доверенной цифровой среды.

Но без технических деталей, независимой проверки и официальных подтверждений со стороны профильных украинских структур такие утверждения пока остаются именно заявлением о кибератаке, а не окончательно установленным фактом.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!