Linux.Ekoms.1 – Trojaner für Linux macht alle 30 Sekunden einen Screenshot und kann Sound aufnehmen

5 Kommentare Autor: Jürgen (jdo)

Die Security-Experten von Dr. Web haben in einem Blog-Eintrag von einer neuen Malware berichtet, die sie Linux.Ekoms.1 nennen. Es handelt sich dabei um einen Trojaner für Linux, der alle 30 Sekunden einen Screenshot aufnimmt und auch Sound aufnehmen kann.

Linux.Ekoms.1

Sobald die Malware installiert ist, prüft sie, ob diese beiden Dateien vorhanden sind, die zu Mozilla Firefox oder Dropbox gehören:

  • .mozilla/firefox/profiled
  • .dropbox/DropboxCache

Werden die angegebenen Dateien nicht gefunden, dann speichert der Trojaner eine Kopie von sich unter einem der oben genannten Namen. Danach wird die Kopie von einem neuen Verzeichnis aus gestartet.

Läuft Linux.Ekoms.1, verbindet sich der Schadcode zu einer Adresse, die fest im Code enthalten ist. Die Malware macht dann alle 30 Sekunden einen Screenshot und verwendet dafür entweder JPEG oder BMP. Diese werden über eine verschlüsselte Verbindung an den Server übertragen. Der Trojaner kann außerdem Befehle von den Cyberkriminellen empfangen und würde darauf hin bestimmte Dateien herunterladen oder andere Aktionen durchführen. Das geschieht mithilfe von AbNetworkMessage.

Zum Beispiel könnten die Bösewichte den Trojaner anweisen, einen Proxy zu verwenden. Ebenfalls ist die Installation eines AES-Schlüssels möglich.

Weiterhin kann der Schadcode auch Audio aufnehmen, ist bei Dr. Web zu lesen.

Linux.Ekoms.1 startet sich selbst

Laut Dr Web erstellt die Malware einen Eintrag, der wie folgt aussieht und sich in der Datei $HOME/.config/autostart/%exename%.desktop befindet:

[Desktop Entry]
Type=Application
Name=%exename%
Exec=%pathtoexe%
Terminal=false

Es wird immer wieder geprüft, ob diese Datei vorhanden ist. Sollte das nicht der Fall sein, dann wird sie einfach immer wieder erzeugt.

Die Malware wurde am 15. Januar 2016 in die Viren-Datenbank von Dr. Web aufgenommen. Wer Dr. Web für Linux ausprobieren möchte, kann sich registrieren und erhält dann eine Testversion. Diese ist drei Monate lang gültig. Wer sich nicht registrieren möchte, kann sich ebenfalls eine Demo-Version herunterladen. Diese behält allerdings nur ein Monat seine Gültigkeit. Eine Jahreslizenz für einen PC schlägt mit 26 Euro zu Buche. Zwei Lizenzen würden 30 Euro kosten. Günstiger wird es, wenn man ein Abonnement für mehrere Jahre abschließt.

Diese Aktionen kann Linux.Ekoms.1 ausführen

Diese Aktionen kann Linux.Ekoms.1 ausführen

Update: In den Kommentaren wurden gefragt, inwiefern dieser Trojaner eine Gefahr ist. Das kommt wahrscheinlich darauf, welche geheime Dokumente man auf dem Rechner hat und diese bearbeitet. Auf jeden Fall ist es seitens der Cyberkriminellen ein ziemlicher Schuss ins Blaue.

Natürlich kann man Passwörter abfischen, wenn gerade der Passwort-Manager offen ist und das Kennwort im Klartext anzeigt. aber da gehört wahnsinnig viel Glück dazu.

Möglicherweise handelt es sich dabei momentan nur um einen Testlauf oder eine Machbarkeitsstudie (Proof of Concept) und die Bösewichte planen Schlimmeres. Regierungen setzen auch auf Linux auf dem Desktop und ich glaube, dass sich der Trojaner nicht für die breite Masse, sondern speziell für Spear Phishing eignet. Man greift damit bestimmte Personen an, von denen man weiß, dass sie viel mit sensiblen Dokumenten arbeiten.

Der Trojaner braucht auf jeden Fall keine root-Rechte, um die Screenshots zu machen und Bilder hochzuladen. Allerdings kann die Malware auch Befehle empfangen und sich womöglich durch einen Exploit root-Rechte ergaunern und dann bestimmte Programme ausführen. Man muss sich dabei nur CVE-2016-0728 vor Augen halten. Das ist die Lücke, für die gerade alle Patches ausgeben, weil alle Linux-Kernel-Versionen seit 3.8 anfällig sind – Rechteausweitung! Die Lücke ist seit 2012 im Kernel enthalten, wurde aber erst kürzliche enthüllt.

Persönlich schätze ich das Risiko bei Linux.Ekoms.1 eher gering ein. Das Prinzip ist allerdings neu und man sollte schon auf dem Radar haben, ob da Weiteres geplant ist.

P.S: Das ist kein gesponserter Artikel, sonst wäre er so deklariert. Ich wollte lediglich darauf hinweisen, dass Dr. Web einen Virenscanner für Linux anbietet und was der kosten würde. Für mich waren das einfach nützliche Zusatzinformationen – sorry, wenn das falsch interpretiert wurde.

Auch Interessant?

  1. HoT (Hand of Thief) ist nichts mehr als heiße Luft (derzeit)
  2. Die Entwickler von ClamAV sind beeindruckt
  3. Sicherheit: Linux-Kernel-Exploit betrifft Versionen 3.3 bis 3.8
  4. Linux.Encoder.1: Ransomware mit Verschlüsselung hat es auf Linux-Anwender abgesehen
  5. Neues rootkit für Linux gefunden

 Alle Kommentare als Feed abonnieren

5 Kommentare zu “Linux.Ekoms.1 – Trojaner für Linux macht alle 30 Sekunden einen Screenshot und kann Sound aufnehmen”

  1. Thoys says:
    20. January 2016 at 10:50

    Wie ist so ein Trojaner einzuschätzen, was die Sicherheit angeht. Benötigt man Rootrechte um ihn zu installieren, oder reicht ein typisches E-Mail öffnen (Bildlich gesprochen)?

    Thoys

    • jdo says:
      20. January 2016 at 11:43

      Wohl eher nicht. Er treibt ja keinen Blödsinn am System, sondern spioniert den Anwender aus.

      Mit einem entsprechenden Exploit könnte er aber möglicherweise auch als root-Befehle ausführen. Der Trojaner bringt kann Befehle empfangen.

      Klar sind die Screenshots ein Schuss ins Blaue. Aber wenn einer mit seinem Passwort-Manager gerade ein Passwort im Klartext anzeigen lässt und davon ein Screenshot gemacht wird ...

      Ich glaube nicht, dass der Trojaner nun soooooo gefährlich ist oder so viele relevante Informationen stehlen kann - da gehört viel Glück dazu. Aber das Prinzip ist ein Novum und es sieht fast wie ein Testlauf aus (hardcodierter Server) ... möglicherweise ist das etwas Größeres am Köcheln oder es war eine reine Machbarkeitsstudie (Proof of Concept).

      Vielleicht wurde das Ding auch für Spear Phishing entwickelt. Greift man damit Leute an, die hauptsächlich mit sensiblen Daten hantieren, dann rentieren sich die Screenshots möglicherweise schon ...

  2. Martin Zabinski says:
    20. January 2016 at 10:50

    Der Artikel liest sich wie Werbung.

    Ist dieser Trojaner überhaupt eine Gefahr? Ist es wieder einer von der Sorte den man sich selber installieren "darf"?

    • jdo says:
      20. January 2016 at 11:41

      Ist keine Werbung, wurde weder von Dr. Web bezahlt, noch von denen angeschrieben. Ich habe lediglich erwähnt, dass Dr. Web einen Client für Linux anbietet und was die Preise sind. Wäre es ein gesponserter Artikel, wäre der auch so deklariert.

      Ob der Trojaner eine Gefahr ist, hängt wohl davon ab, was man auf dem Rechner hat. Auf jeden Fall braucht er keine root-Rechte, um den Anwender auszuspionieren.

      Spear Phishing würde mir spontan bei so einer Malware einfallen ... die breite Masse angreifen macht keinen Sinn ...

  3. Rayman says:
    20. January 2016 at 19:48

    Mich würde vor allem interessieren, auf welche Art und Weise man sich den Trojaner einfangen kann.