62

Wirus Ekoms wędruje z Linuxa na… Windowsa. Jest jeszcze niebezpieczniejszy

Niedawno pisaliśmy dla Was o nowym cyberzagrożeniu, którym powinno zainteresować się użytkownicy Linuksa. Opisywany przez nas koń trojański to również dowód na to, że oprogramowanie antywirusowe może się przydać również na tej platformie, choć oczywiście zagrożeń jest dużo mniej - również z powodu mniejszej popularności tego systemu głównie w zastosowaniach konsumenckich.

Informacje na temat tego cyberzagrożenia opublikował pierwotnie DrWeb, który wskazał jego podstawowe funkcje. Wirus zajmuje się przede wszystkim szpiegowaniem użytkownika, który pracuje na zainfekowanej maszynie – ustalono, że co 30 sekund tworzony jest zrzut ekranu, który potem zapisywany jest w formacje JPG lub BMP. Następnie, wirus przesyła wykonane zrzuty na podany mu przez twórcę serwer używając bezpiecznego, szyfrowanego połączenia. Ponadto, możliwe jest nagrywanie dźwięku w formacie WAV przez zainstalowany w komputerze mikrofon, jednak koń trojański z tej możliwości na Linuksie nigdy nie skorzystał.

Wirus wieloplatformowy

W Sieci pojawiły się doniesienia na temat windowsowej wersji tego cyberzagrożenia. Pozyskane próbki okazały się być niesamowicie podobne do tego, co wcześniej znaleziono na Linuksie – stąd uznano, że mamy do czynienia z tym samym wirusem, tylko przeznaczonym dla innej platformy. Co ciekawe, dla Windows znaleziono również odmianę Ekoms (Mokes), która nie tylko tworzy zrzuty ekranowe, ale również rejestruje dźwięk w formacie WAV. Ta funkcja – choć jej ślady były obecne w linuksowym odpowiedniku, nie była aktywna. Zaczęła działać dopiero na Windows, przy czym ta operacja aktywuje się co 5 minut.

Po tym, jak wirus zostanie wprowadzony do maszyny, losowo wybiera jedną z lokalizacji w %AppData%, po czym instaluje się na komputerze. Następnie tworzy on odpowiednie wpisy w systemowym rejestrze, a następnie, po jego uruchomieniu wykorzystuje API SetWindowsHook, by móc monitorować poczynania użytkownika. Podobieństwo sprawdza się do niemal identycznego działania cyberzagrożenia – nie dość, że zbiera podobne informacje (choć wypada wskazać, że do komunikowania się z serwerem – zarządcą wykorzystuje inne adresy IP), to używa prawie takich samych wzorców nazywania plików.

wirus, ekoms, mokes, linux, windows

Co więcej, wskazuje się, że wirus zawiera w sobie mechanizmy pozwalające na przechwytywanie obrazu z kamery internetowej. Wirus potrafi ominąć zabezpieczenia systemu Windows polegające na ostrzeganiu użytkownika przed uruchomieniem nieznanego oprogramowania – to jest możliwe dzięki skorzystaniu z certyfikatu oznaczającego, że kod aplikacji jest zaufany. W tym wypadku wirus korzysta z „COMODO RSA Code Signing CA”.

Nie wyklucza się istnienia wersji dla OS X

Eksperci wskazują, że skoro ktoś zadał sobie tyle trudu, by przygotować wersję złośliwego programu dla Windows, to równie dobrze może przygotować wersję również dla platformy Apple. Ten wypadek wskazuje – pomimo moich wcześniejszych rozważań na ten temat, że czasami warto jest zainstalować oprogramowanie antywirusowe, które może uchronić nas przed wyciekiem danych z komputera. Rejestrowanie dźwięku z mikrofonu, obrazu z kamery, zrzuty ekanowe… to całkiem spory wachlarz możliwości pozyskania informacji o nas. A to może nas bardzo drogo kosztować.

Grafika: 1