นักวิจัยจากบริษัทแอนตี้ไวรัส Dr.Web ค้นพบโทรจันสายพันธ์ใหม่ภายใต้ชื่อ Linux.Ekom.1 มีเป้าหมายเป็นระบบปฏิบัติการ Linux โดยการทำงานของโทรจันตัวนี้คือมีการ takes screenshots หรือจับภาพหน้าจอของเครื่องที่ติดเชื้อทุกๆ 30 วินาที และบันทึกไฟล์ไว้ในโฟลเดอร์ /tmp เป็นรูปภาพชนิด JPEG หรือ BMP โดยใช้นามสกุลไฟล์เป็น .sst
นอกจากนั้นนักวิจัยยังพบอีกว่าโทรจันดังกล่าวมีการบันทึกเสียงของเครื่องที่ติดเชื้อจะบันทึกเป็นไฟล์ WAV โดยใช้นามสกุลไฟล์เป็น .aat ในโฟลเดอร์เดียวกัน
หลังจากทำการจับภาพหน้าจอและบันทึกเสียงใส่ไว้ในโฟลเดอร์แล้ว โทรจันจะทำการค้นหาไฟล์ .sst, .aat ในโฟลเดอร์ /tmp และทำการเข้ารหัสไฟล์จากนั้นก็อัพโหลดขึ้นสู่ Remote server ของโทรจันเช่น C&C สำหรับนามสกุลของไฟล์จะมีหลากหลายเช่น “aa*.aat“, “dd*ddt”, “kk*kkt”, “ss*sst” เป็นต้น
ที่มา : securityaffairs
You must be logged in to post a comment.