리눅스 악성코드 Ekocms 발견!

리눅스 악성코드 Ekocms 발견!

최근 리눅스에서 동작하는 악성코드 Linux.Ekocms.1가 발견되었습니다. 

Linux.Ekocms.1은 홈 디렉토리에서 하위 폴더 중 하나에 지정된 이름을 가진 파일이 있는지 여부를 확인합니다. 만약 지정된 이름을 가진 파일이 없다면, 무작위로 서브 폴더를 선택하여 자신의 복사본을 만듭니다. 

악성코드 내 C&C서버 ip주소가 하드코딩 되어 있으며, 서버와 주고받는 정보들은 모두 암호화 시킵니다. 

특이한 점은 매 30초마다 화면을 캡쳐하여 jpeg형태로 저장하며, 문서명에 캡쳐 시간을 포함합니다. 만약 사용자 컴퓨터에 jpeg 형식을 저장할 수 없다면, 악성코드는 bmp형식으로 캡쳐화면을 저장합니다.

이렇게 캡쳐한 화면들은 두개의 동일한 폴더에 저장을 하는데, 만약 이 폴더들이 존재하지 않는다면 자신이 폴더를 생성합니다. Linux.Ekocms.1 감염여부는 아래 폴더들을 확인하면 됩니다.

- $HOME/$DATA/.mozilla/firefox/profiled

- $HOME/$DATA/.dropbox/DropboxCache

또한 이 악성코드에는 소리를 녹음할 수 있는 코드도 함께 포함되어 있으며, wav포멧으로 저장합니다. 

알약에서는 해당 악성코드에 대하여 Backdoor.Agent.Linux.gen로 탐지하고 있습니다.

참고 : 

http://www.securityweek.com/linux-trojan-takes-screenshots-every-30-seconds?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29

https://news.drweb.com/show/?i=9790&lng=en&c=5