Зловред Linux.Ekoms.1 делает снимки экрана и грузит документы
Вредная платформа Linux.Ekoms.1 может с некоторой периодичностью делать на инфицированном ПК скриншоты и грузить на инфицированную автомашину разные документы. К подобному выводу пришли специалисты компании «Врач Интернет».
После собственного старта Linux.Ekoms.1 рассматривает содержание в одной из подпапок бытовой директории клиента документов с заблаговременно данными именами и при их неимении сохраняет свою копию в одной из них (выбор проводится случайно), а потом пускается из новой локации. После удачного старта троянец связывается с одним из правящих компьютеров, адреса которых «зашиты» в его организме. Все данные, которыми Linux.Ekoms.1 меняется с правящим центром, шифруются.
С периодичностью в 30 сек троянец делает на инфицированном ПК скриншот (снимок экрана) и сохраняет его во краткосрочную папку в формате JPEG. Если расположить документ на диск по любым основаниям не удалось, Linux.Ekoms.1 старается осуществить хранение в формате BMP. Содержание временной папки грузится на правящий компьютер по таймеру с некоторыми кратковременными промежутками.
Один из формируемых троянцем потоков в ОС Linux возбуждает на инфицированном ПК перечень фильтров для названий файлов вида «aa*.aat», «dd*ddt», «kk*kkt», «ss*sst», поиск по которым проводится во временной папке, и грузит оптимальные под эти аспекты документы на правящий компьютер. Если в ответ поступает строка uninstall, Linux.Ekoms.1 грузит с компьютера мошенников выполняемый документ, сохраняет его во краткосрочную папку и пускает оттуда. Также троянец владеет перспективой закачки с правящего компьютера прочих случайных документов и их сбережения на диске ПК.
Кроме функции образования скриншотов, в коде троянца находится особый механизм, который позволяет вписывать звук и сохранять приобретенную запись в документ с расширением .aat в формате WAV, а почти данная вероятность ни у кого не применяется.