Linux下惊现会截屏的木马

LinuxProbe

俄罗斯杀毒软件厂商Dr.Web近日发现了一个游荡在Linux平台上的全新木马：Linux.Ekocms.1。从截获的木马样本来看，该木马能够截屏和录制音频文件，然后发送给远程服务器，具体来说，这个木马会对寄宿系统进行截屏操作，每隔30秒进行一次，然后发送给远程服务器，这些截图都会暂时保存在两个相同的文件夹中，如果发现这些文件夹不存在，木马会首先创建这个文件夹。

                               
登录/注册后可看大图

如果你的Linux没安装杀软，可以直接到以下两个文件夹中确认你是否已经被感染和截屏：

$HOME/$DATA/.mozilla/firefox/profiled$HOME/$DATA/.dropbox/DropboxCache

此木马默认截屏图片的文件格式为JPEG，文件名包含截屏时间，不仅如此，如果你的电脑不能保存该格式的图片，木马会转用BPM格式保存截图，这些截图会被加密上传到远程服务器，因此第三方工具要想使用反向工具破译木马行为，也存在一定难度，奇怪的是安全人员甚至在木马的代码中发现了音频录制操作的代码，然而这项功能却没有被使用过，当然大家也不必担心，既然Dr.Web已经发现了这个木马，那么这款杀毒软件就能在Linux平台上杀除Ekocms木马，因此感染这个木马的用户可以尝试用这款软件清理一下系统。

本文地址：https://www.linuxprobe.com/screenshots-trojan-virus.html

terryy2

seloveljy

richest41

谢谢楼主分享

H123456H

1111111111111