UNA NUEVA AMENAZA PARA LINUX

Se agrega una nueva amenaza para los usuarios de linux. La aparición de nuevos malwares para este sistema operativo parece hacerse cada vez más frecuente en esto últimos tiempos.  Ahora es el turno de un nuevo troyano, cuya detección aunque fue reciente, ya se empieza a hablar de como  podría afectar a todos los usuarios de Linux.

La nueva amenaza lleva el nombre de Linux.Ekocms.1, y fue descubierta hace una semana una vez mas por la compañia de antivirus rusa Dr. Web, quienes ya habían detectado algunos troyanos anteriores como Rekoobe.

Dr. Web, en su portal, ha publicado el descubrimiento de la compañia, quienes han definido este malware como un troyano de la familia spyware, capaz de tomar capturas de pantalla y descargar diferentes archivos que podrían comprometer la seguridad de tu computador y claro esta, la privacidad del usuario.

dr-web-cureit-13

El troyano esta diseñado para tomar screenshots cada 30 segundos, y se almacenan dentro de un directorio temporal en el ordenador, en formato JPEG o BMP, con un nombre que contiene la fecha y hora de cuando se tomó la imagen bajo el modelo ss%d-%s.sst, donde el %s es una estampa de tiempo. Si hay un error al guardar el archivo, el troyano utilizará el formato de imagen BMP.

Una vez lanzado, el troyano analiza los siguientes dos archivos

$HOME/$DATA/.mozilla/firefox/profiled

$HOME/$DATA/.dropbox/DropboxCache

Si no se encuentran estos archivos, el troyano es capaz de crear su propia copia llamada igual que alguna de estas dos anteriores para pasar desapercibido dentro del sistema. Una vez establecida la conexión entre Linux.Ekocms.1 y el servidor, a través de un proxy cuya dirección se encuentra encriptada dentro de el, comienza el traspaso de información encriptada al C&C. 

Por ultimo, Linux.Ekocms.1 genera una lista de filtrado para archivos aa*.aat, dd*.ddt, kk*.kkt, ss*.sst dentro del directorio y sube los archivos al servidor que coincidan con este criterio. Ademas de la habilidad de tomar capturas de pantalla, el troyano tiene la capacidad de grabar audio y salvarlo con el nombre de aa-%d-%s.aa con el formato WAV. Sin embargo, Dr. Web no ha detectado el uso de esta función todavía Hasta el momento no se ha conocido información de los archivos “dd*.ddt”, “kk*.kkt” y que datos podría contener ambos.