| 俄罗斯杀软厂商Dr.Web近日发现了Linux平台全新木马Linux.Ekocms.1。从截获的木马样本来看,该木马能够截屏和录制音频文件,并发送给远程服务器。
具体来说,这个木马能在被感染电脑中进行截屏作业,每隔30秒进行一次,然后发给远程服务器。这些截图都先保存在两个相同的文件夹中,但如果这些文件夹不存在,木马会在需要的时候自己创建。 如果你的Linux没安装杀软,可以直接到以下两个文件夹中确认你是否已经被感染和截屏: - $HOME/$DATA/.mozilla/firefox/profiled - $HOME/$DATA/.dropbox/DropboxCache 默认截屏图片文件格式为JPEG,文件名包含截屏时间。如果你的电脑不能保存该格式的图片,木马会用BPM格式保存截图。这些截图会被加密上传到远程服务器,因此第三方工具要想使用反向工具破译木马行为,也存在一定难度。 尽管在木马的代码中发现了音频录制的内容,但目前来看这项功能没有被使用过。既然是Dr.Web首先发现了这个木马,那么这款杀软就能在Linux平台杀除Ekocms,因此感染这个木马的用户可以尝试用这款软件清理一下系统。 |
