Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 106 reacties
Submitter: Simyager

Onderzoekers van het Russische anti-virusbedrijf Doctor Web hebben een trojan voor Linux ontdekt die periodiek screenshots neemt en bestanden downloadt van een besmette machine. Ook kan het Trojaanse paard audio opnemen via een aangesloten microfoon.

Het anti-virusbedrijf noemt de trojan Ekoms. De malware maakt elke dertig seconden een screenshot en slaat die in jpeg-formaat op in een tijdelijke directory. Als het bestand niet opgeslagen wordt, dan probeert de trojan de file in bmp op te slaan. Deze tijdelijke directory wordt vervolgens naar een externe server geüpload via een beveiligde verbinding. De trojan zoekt ook naar bepaalde bestanden in de home-directory. Vindt het die niet, dan kiest de trojan zelf een subdirectory om zich in op te slaan.

Naast de mogelijkheid om screenshots te nemen, zit er ook code in de trojan om geluid op te nemen en dit op te slaan als .aat-file in wav-formaat. Volgens Doctor Web wordt dit verder nergens voor gebruikt.

De malware zoekt naar de bestanden "$HOME/.local/share/.mozilla/firefox/profiled" en "$HOME/.local/share/.dropbox/DropboxCache". Als een van die bestanden niet gevonden wordt, maakt de trojan ze zelf. Hoe de trojan zich verspreidt of en hoeveel systemen er met de malware zijn geïnfecteerd, meldt het anti-virusbedrijf niet.

Moderatie-faq Wijzig weergave

Reacties (106)

hm, dit zaakje stinkt. Uit de definitie DB link in het artikel:
It generates a filtering list for the "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst” files that are searched in the temporary location and uploads the files that match these criteria to the server. If the answer is the uninstall line, Linux.Ekoms.1 downloads the /tmp/ccXXXXXX.exe executable file from the server, saves it to the temporary folder and runs it.
Nu kan het een tikfout zijn van Dr. Web, maar een .exe file onder Linux (zonder wine) lijkt me toch wel knap. Tuurlijk kun je onder Linux een uitvoerbaar bestand elke extentie onder de zon geven, maar toch vind ik het apart.

Nog een paar andere dingen die me opvielen:

1) Het is vrij makkelijk om deze trojan te traceren door de .desktop file in je $HOME/.config/autostart map
2) Het is vrij makkelijk deze trojan (tijdelijk) lam te leggen door een regel in je firewall toe te voegen (met dank aan Hemera in 'nieuws: Linux-trojan maakt screenshots en neemt audio op')
3) In de DB link hierboven word gesproken over
where $DATA = QStandardPaths::writableLocation(QStandardPaths::GenericDataLocation)
Nu ben ik hier niet 100% zeker van, maar is QStandardPaths niet iets uit de stal van QT? Beetje vreemd geschreven/verwoord, of heeft de user ook QT op zijn/haar systeem nodig?
Mijn bullshit detector sloeg ook uit bij de .exe in de /tmp folder. Een linux trojan is een zeldzaamheid dus ik zie graag meer bewijs voor dit unieke stukje programmeerwerk. Ik mis de bron van besmetting, de verantwoordelijke processen en de removal options.
Curing recommendations
Linux
On the loaded OS, run a full scan of all disk partitions using the Dr.Web Anti-virus for Linux.
Kennelijk is het alleen mogelijk door hun antivirusprogramma installeren, maar als het alleen in userspace draait (wat voor de hand ligt) zou het ook eenvoudig zelf te verwijderen moeten zijn. Verder staat er geen enkel user comment op hun site en heb ik nog nergens een een getroffen gebruiker gevonden via google, wat ik wel zou verwachten.

Tot ik een proof heb gezien ben ik sceptisch.

Edit:
Meer dan een dag verder, en ik heb nog geen proof of existence gevonden. Op een hoop tech sites wordt dit bericht klakkeloos overgenomen maar ik heb nog geen enkel bewijs van het bestaan van deze trojan gezien. Als iemand een screenshot, video, forumbijdrage o.i.d. heeft gevonden hoor ik het graag.

[Reactie gewijzigd door ockelz op 20 januari 2016 23:57]

Als je een separate /tmp partitie hebt met noexec flag wordt er in /tmp zowiezo niets uitgevoerd.

Dr.Web wil wel graag dat je hun antivurus pakket voor linux installeerd.
dat noexec is makkelijk te omzeilen.
Nu ben ik hier niet 100% zeker van, maar is QStandardPaths niet iets uit de stal van QT? Beetje vreemd geschreven/verwoord, of heeft de user ook QT op zijn/haar systeem nodig?
Dat klopt, maar wie heeft dat tegenwoordig nu niet op zo'n desktop?
Deze trojan richt zich tegen desktopgebruikers. Dat zie je ook al aan gebruik van het "autostart" mechanisme van de grafische desktops, een pure CLI-oplossing zou daar nooit voor kiezen.

Wat mij betreft verraadt het ook dat de programmeur maar weinig verstand heeft van Linux. Een die-hard Linux-kenner zou denk ik een andere oplossing hebben gekozen.
Nou, Gnome/Unity gebruikers hebben dat niet op hun systeem. Alleen als de gebruiker zelf een Qt-programma toevoegd wordt het geinstalleerd. Oftewel een standaard installatie van populaire distros als ubuntu en fedora zal het dan niet op draaien.
Volgens mij klopt dat niet en hebben de meeste distro's de Qt libraries standaard aan boord, ook als je geen KDE gebruikt.

Ik heb geen verse Ubuntu/Fedora bij de hand en ik ben te lui om een VM te maken maar het pakket "ubuntu-desktop" is (onder andere) afhankelijk van "qt-at-spi" en dat heeft weer een dependency op "libqtcore4". Dit is gebaseerd op Ubuntu 14.04 LTS, zie http://packages.ubuntu.com/trusty/ubuntu-desktop voor meer details.

Op grond daarvan constateer ik dat de meeste Ubuntu gebruikers de Qt libraries geinstalleerd hebben.


Er bestaat een mythe dat je libraries zoals Qt en Gtk niet moet mengen omdat het minder efficient zou zijn. Op zich klopt dat wel maar voor een modern systeem stelt het eigenlijk niet zo veel voor. Er zijn nog wat andere nadelen maar alle echte struikelblokken zijn al lang geleden weggenomen.

Puristen vinden het maar niks maar de meeste mensen trekken zich niks aan van de kleine inconsistenties en gebruiken de beste applicatie onafhankelijk van welke toolkit er achter zit.
Ik heb de QT libraries toevallig laatst geďnstalleerd op mijn Fedora machine toen ik Callibre installeerde, maar daarvoor stonden ze er niet op. Ik gebruik de XFCE desktop
Misschien is deze Trojan wel een Hoax...?!
;)
maar een .exe file onder Linux (zonder wine) lijkt me toch wel knap
Euh, nee hoor.
[cyber@miranda ~]$ gcc -o test.exe test.c
[cyber@miranda ~]$ ./test.exe
Hot damn.
UNIX doet niks met file extensions. Maakt dus niet uit of 't ".exe" heet of niet.
Al roept het wel bij mensen de vraag op: waarom een uitvoerbaar bestand binnen linux een referentie laten maken naar iets dat te maken heeft met Windows? Dat het mogelijk is, ja, maar het lijkt me vrij nutteloos en ik neem aan dat dit is wat voorgaande bedoelde.
Inderdaad, dus waarom zou je die .exe er aan hangen? Ik ben het onder linux nog niet tegen gekomen.
Ik wel. Het is voor sommige downloads wel handig om aan te geven dat het een executable file betreft.
Dat word echter niet met de extentie gedaan maar met de file header. Je kunt, onder *nix, ook een .txt file uitvoerbaar maken, of GCC (c ompiler) een programma laten compileren met als naam "ILOVEYOU.txt" ;)
Theoretisch maakt het niet uit, praktisch is het een extra manier om op te vallen wat je juist niet wilt.

Ik heb op mijn linux bak ook een cron-job staan die gewoon scant naar .exe en .dll bestanden (met een paar mounts uitgezonderd) puur voor het geval dat ik weer wat verkeerd verplaatst heb en deze zou dus opvallen bij zo'n scan.
Mooi dat je de rest van m'n reactie ook gelezen hebt:
Tuurlijk kun je onder Linux een uitvoerbaar bestand elke extentie onder de zon geven, maar toch vind ik het apart.
Je antwoord met iets wat ik zelf ook al aangeef. Met mijn zin doelde ik meer op het niveau van de orginele auteur van deze trojan, iets wat CAPSLOCK2000 in 'nieuws: Linux-trojan maakt screenshots en neemt audio op' ook al aangaf.

Oh, en UNIX != Linux he ;)

[Reactie gewijzigd door sfranken op 20 januari 2016 04:39]

Nu kan het een tikfout zijn van Dr. Web, maar een .exe file onder Linux (zonder wine) lijkt me toch wel knap.
omdat iets een .exe extensie heeft, betekend nog niet dat het een dos/windows binary is. Sinds wanneer trekt Unix/Linux zich ook maar iets aan van een extensie? Als het executable bitje er staat, en het bevat een magicline / ELF Header, execute. ( ja ja, noexec flag, etc ;) ).

het kan juist bewust .exe heten om een klein rookgordijn op te werpen. Ik heb 't vaker gezien met malware op linux systemen. Net zoals perl payloads die zich vervolgens voordoen in de processlist als postfix, sendmail of init.
Leuk dat je me quote, maar ga dan een zin verder:
Tuurlijk kun je onder Linux een uitvoerbaar bestand elke extentie onder de zon geven, maar toch vind ik het apart.
M.a.w: dat wist ik zelf ook al wel ;)
De malware zoekt naar de bestanden " ~/.mozilla/firefox/profiled" en "~/.dropbox/DropboxCache".
Dat klopt niet helemaal, het gaat om
  • $HOME/$DATA/.mozilla/firefox/profiled
  • $HOME/$DATA/.dropbox/DropboxCache
  • where $DATA = QStandardPaths::writableLocation(QStandardPaths::GenericDataLocation)
QStandardPaths::GenericDataLocation staat dan weer voor
  • ~/.local/share/<APPNAME>
  • /usr/local/share/<APPNAME>
  • /usr/share/<APPNAME>
Daar moet ik wel bij zeggen dat het distributies vrij staat om hier van af te wijken, daarom is het configureerbaar, maar volgens mij doen ze het allemaal hetzelfde.

In werkelijkheid moet je dus zoeken in $HOME/.local/share/.mozilla/firefox/profiled en $HOME/.local/share/.dropbox/DropboxCache

In theorie kan het ook nog in /usr staan maar daar heb je als gewone gebruiker geen schrijfrechten.

[Reactie gewijzigd door CAPSLOCK2000 op 19 januari 2016 16:36]

Klopt, maar op zo'n manier iets in een artikel proppen is niet helemaal bruikbaar.. (we zouden dat wel zo doen bij softwareupdates). Maar bij velen zal $home/$etc. waarschijnlijk slaan op /home/username/.mozilla waardoor m.i. ~/ volstaat. En zoals je zelf al zegt, het kan ook nog op andere plekken staan.
Ik snap dat jullie niet alle details willen uitspellen maar ik vind dit voorbeeld onhandig.
Je kiest het voorbeeld dat voor <1% van de gebruikers van toepassing is terwijl er ook een antwoord is dat voor 99% van toepassing is.

Dit is een virus dat zich probeert te verstoppen op een onlogische plek. Jullie zijn er in getrapt door op de logische plek te kijken.

PS. Ik schrijf dit zuiver op grond van informatie van Dr.Web, ik heb het virus niet in actie gezien, ik kan niet uitsluiten dat Dr.Web het zelf verkeerd heeft begrepen maar op grond van hun post denk ik dat ze het snappen.
Oooh ja, shhhh.... helemaal domdomdom. Aangepast en dank voor het nog een keer erop wijzen ;)
Als ik het zo lees moet je kijken of er iets raars staat in de ~/.config/autostart/ folder. Daar maakt het virus een .desktop file aan.
it saves the following information to the $HOME/.config/autostart/%exename%.desktop file:

[Desktop Entry]
Type=Application
Name=%exename%
Exec=%pathtoexe%
Terminal=false

Then, it checks for this file in infinite loop. If the file is not found, it is created once again.
Bij mij niets raars te zien...

[Reactie gewijzigd door emnich op 19 januari 2016 15:57]

Hoe de trojan zich verspreidt of en hoeveel systemen er met de malware zijn geďnfecteerd, meldt het anti-virusbedrijf niet.
Dit is natuurlijk wel belangrijk om te weten. Hoe komt het op het systeem en hoe is het mogelijk dat de trojan genoeg rechten heeft om bestanden te maken en aan te passen?
Zoals elke trojan, neem ik aan? Het is doodsimpel om een programma'tje te maken wat doet wat hier omschreven wordt. Schrijven in je eigen home directory heb je ook geen speciale privileges voor nodig, dus het is geen exploit.

Als ik nu in plaats van 'my_evil_spying_application' dit programma 'dropbox' noem dan heb je een trojan: een programma wat eruit ziet als iets wat nuttig is en wat je wilt gebruiken terwijl erin verstopt software zit die dingen doet die ik duidelijk niet wil.

Verspreiding, net als elke andere trojan: stuur mailtjes naar kwetsbare targets en zeg: 'Download nú deze update voor Dropbox, anders ben je kwetsbaar. Klik hier!'
Klopt. Ik denk alleen - maar weet het niet zeker - dat Linux gebruikers zich over het algemeen wat meer bewust zijn van malware en het herkennen van spam mailtjes. Daarom ben ik benieuwd of ze het niet juist op een andere manier weten te verspreiden.

edit: over het algemeen. Dus niet iedereen. Jullie hoeven niet alle uitzonderingen te noemen hoor ;)

[Reactie gewijzigd door Tk55 op 19 januari 2016 17:56]

Je hoort het anders nog wel eens dat een tech-savvy tweaker voor zijn grootmoeder geen Windows-bakje wegzet, maar een Linux-PCtje. Dan kan daar wat oudere hardware in, want dat draait dan alsnog best vlot, zeker omdat je op Linux ook geen virusscanner op de achtergrond hoeft te draaien…

Oh, wacht…

Maar dat oma geen idee heeft dat dit een typisch trojan-mailtje is, daar wordt dan niet aan gedacht, want er zijn toch geen virussen voor Linux?

Wil niet zeggen dat als opoe een Windows-bak had gehad, ze dat ding niet had willen installeren, maar op Windows is het gebruik van een virusscanner zowat 100% en in de meeste gevallen zal dit dan ook geblokkeerd worden.
Sorry? Zit je nu te beweren dat Windows met virusscanner veiliger is dan Linux voor de gemiddelde gebruiker?
Wil je die discussie echt aangaan op basis van EEN (let wel: 1!) gevonden trojan voor Linux? :?
Dat zegt hij niet, hij geeft aan dat het ook daarop best nog kan.
En ShellShock, Heartbleed en tal van andere exploits. Linux heeft momenteel nog niet zoveel last van virussen en malware, maar linux wordt steeds populairder en dat brengt ook risico met zich mee.

Dus ja, een Windows installatie met virussen scanner is per definitie veiliger dan Linux zonder virusscanner voor de gemiddelde gebruiker. Let er wel op dat de gemiddelde gebruiker GEEN tweaker is en dus weinig kaas heeft gegeten van beveiliging.

De kans dat je met een Linux virus/malware in aanraking komt is wel kleiner, maar niet uitgesloten. Zonder een security scanner (tripware, malware scanners, virusscanners, etc) kan een linux virus veel meer schade aanrichten, dan een virus op Windows MET scanner. Die zal misschien hooguit een paar dagen onopgemerkt blijven (als het een nieuw virus betreft), als jij echter deze Linux trojan eenmaal op jouw systeem hebt, zul jij hem niet snel opmerken. Vooral omdat jij je veilig waant op een Linux systeem.

Wij hebben op al onze Windows- en (Debian) Linux systemen ESET software draaien.

En dan tel in Android nog niet eens mee, want aangezien daarop een Linux kernel draait, zou je Android als een Linux distributie kunnen bestempelen. 95% van de android devices waren vatbaar voor de Stage Fright exploit en de exploit miste eigenlijk alleen de mogelijkheid om zichzelf te kopieren naar andere devices wat in principe eenvoudig zou zijn geweest via het versturen van MMS berichten naar personen in je adresboek..

Er zijn inderdaad nog niet veel exploits en virussen voor Linux - aantal zal rond de 50 liggen - maar ze beginnen wel een steeds serieuzere smaakjes te krijgen..
Een mogelijke aanvalsvector zoals heartbleed is nog geen malware op zich.

En nee, een windows met av is niet per definitie veiliger. Het hangt nog altijd en in de eerste plaats van de gebruiker af. Virus scanners zijn ook niet heilig en er blijven zowel false positives als false negatives bestaan.

Zelf ben ik ook wel voorstander van ook op linux een virusscanner te draaien net omdat op de dag dat er een groot virus uitbreekt je anders waarschijnlijk te laat bent.
Een systeem met AV is per definitie veiliger dan een systeem zonder AV!

Neem de recent ontdekte bug in de Linux kernel welke al sinds 2012 er in zit. Als het virus uit dit bericht via de bug op je systeem komt, heb je zonder AV *NOOIT* door dat er een virus of malware op je systeem aanwezig is.

De kans dat je onder Linux een virus of malware op je systeem krijgt is kleiner dan onder Windows, maar de gevolgen zijn groter omdat velen denken dat Linux out of the box veilig is.

En met de Linux kernel als basis voor Android devices, zullen de komende jaren veel meer bugs in de kernel gevonden worden welke er al jaren in zitten. De keerzijde is natuurlijk dat door de populariteit van Android ook 'reguliere' Linux systemen steeds vaker aangevallen zullen worden.

Bij een gebruiker ga ik er vanuit dat deze op alles klikt wat los en vast zit ongeacht of deze persoon nou Linux, OSX, BSD of Windows draait. En een systeem met AV is dan veiliger dan een systeem zonder..
Er zit een punt van waarheid in.
Ik volg momenteel een 'Ethical Hacking Course' en ja Linux is niet de heilige graal.
Er zijn genoeg voorbeelden te vinden dat een Linux box te hacken valt...

http://www.gfi.com/blog/m...and-applications-in-2014/

Hierin staat een top 3 van kwetsbaarheden per OS. Windows stond toen (2014) niet in de top 3. Maar Linux wel. (Apple neemt plaats 1 en 2).

Ik ga niet discussiëren, Linux zonder anti-virus tegen Windows zonder anti-virus. Dan heb je zeker gelijk.
Maar vergeet niet dat ik voor de niet tech-users van Linux zeker ook aangepaste beveiligingstechnieken aanraad. Kijk naar Android ...

@Excubitor
Als je verder scrolt staat er een kleine overview per distro.

[Reactie gewijzigd door AMD_Aero op 19 januari 2016 20:51]

Dat overzicht heeft het over "Linux Kernel" en geen "Windows" in de Top 3 maar ze splitsen de Windows versies (kernels) wel. Dan moeten ze of Windows ook op 1 grote hoop gooien of per Linux Kernel specificeren.
Nee, ik zeg dat ze allebei in principe even lek zijn, want er zit een gebruiker achter.

De enige reden dat je niet veel meer Linux-trojans hebt is omdat Linux, hoe hard de Tux-fans je ook van het tegendeel willen overtuigen, op de laptop/desktop geneuzel in de marge is.
Dan installeer je toch een virusscanner voor inkomende mail?
Kan onder linux net zo goed hoor.
Maar dat oma geen idee heeft dat dit een typisch trojan-mailtje is, daar wordt dan niet aan gedacht, want er zijn toch geen virussen voor Linux?
Er is nog nooit, voor Linux, een grote uitbraak in-the-wild geweest, zie (ondere andere) https://en.wikipedia.org/wiki/Linux_malware

Grootste uitbraak van Windows malware van welke aard dan ook? Miljoenen machines. Geen geintje, zie https://en.wikipedia.org/wiki/Conficker
nou als je Ubuntu hebt zou ik wel af en toe je .bashrc checken Want Ubuntu gebruikt na een sudo -s de .bashrc van de de gebruiker. (Een feature noemt Ubuntu dat)
Dan kan het zo maar zijn dat je aan een worm/virus/trojan root rechten uitdeeld.
Nee, `sudo -s` starts $SHELL op als root _zonder_ de environment te resetten. Dus als als $SHELL bash is, zal bash gestart worden met uid=0 maar $HOME is nog steeds hetzelfde als eerst. Tenzij je de configuratie aanpast om een environment reset uit te voeren (of $HOME te resetten)
Daarom gebruik je ook `sudo -i` voor een root shell.
oke getest. ( in mijn vrije tijd :/ )
sudo -s op Debian draait de root .bashrc
op Ubuntu voert sudo -s .bashrc van de gebruiker uit.

Geen idee waar jou Nee op slaat. Maar och technische praat geeft punten laten we maar zeggen.

edit: Als een tomaat rood is klopt het ook dat een brandweerwagen ook rood is. Maar ik heb het alleen over tomaten. Boeit mij die brandweerwagen iets.

edit2: Ik ken developers echt wel
(developer + 10 jaar ervaring + een pak + master papiertje) * 40 * 4 maanden * 1 procesmodel = 'nou gelukkig heb ik drie dagen moet te doen zijn'

[Reactie gewijzigd door daft_dutch op 20 januari 2016 11:19]

Dat klopt dan toch? Met de -s flag start sudo $SHELL op als root, zonder van $HOME/$USER te wisselen. Dat komt dus overeen met zelf een nieuwe terminal openen, dan word je .bashrc ook uitgevoerd.

Het enige verschil is, hier, dat bash geopend/gestart word met UID=0 (root dus).
Klopt. Ik denk alleen - maar weet het niet zeker - dat Linux gebruikers zich over het algemeen wat meer bewust zijn van malware
... mits de gebruikers het zelf en bewust geinstalleerd hebben.
Als jouw systeem door een goedbedoelende buurjongen of (klein)zoon gevuld is als vervanger voor die o zo 'onveilige' XP, dan is het ook maar zozo.
Het is speculatie, maar het zou best kunnen dat alles in userspace draait. Dus dat er geen root rechten nodig zijn. Daarmee wordt de vraag hoe deze Trojan zich verspreid natuurlijk alleen maar relevanter.
Hij zal zich gewoon verspreiden zoals alle trojans zich verspreiden, geinstalleerd en verspreid door de user zelf. En aangezien de user toegang heeft tot userspace is dat waar hij terechtkomt.
Rechten heeft de trojan niet nodig, dit zijn directories in je home folder.

En de trojan zou eventueel zijn rechten kunnen verhogen door dit:
https://www.security.nl/p...ale+aanvaller+rootrechten
het draait vermoedelijk als de user die het binnengehaald heeft, dus dan heb je dezelfde rechten.
hoe is het mogelijk dat de trojan genoeg rechten heeft om bestanden te maken en aan te passen?
De trojan heeft geen bijzondere rechten. Het draait met de rechten van de gebruiker die de besmetting heeft opgelopen maar kan daar niet uit. Andere gebruikers en het systeem als geheel worden niet besmet.
Wel als je het combineert met bijvoorbeeld een local root exploit. bijvoorbeeld: nieuws: Kritiek lek in Linux-kernel geeft root-toegang

Je kan overigens best veel met een gewone user account. In elk geval bij alle data van de user, dat is op een workstation ook ongeveer wat je wil. Het biedt verder ook nog wel veel mogelijkheden. Zou er niet lekker van slapen.
" Als het bestand niet opgeslagen wordt, dan probeert de trojan de file in bmp op te slaan."

Dat snap ik niet.
Niet elk Linux systeem heeft de tools om een jpg te kunnen saven in verband met de image processors die daarvoor nodig zijn. Bitmap (bmp) is redelijk universeel en low-level, dat lukt altijd wel geloof ik.

Een fallback dus
Niet elk Linux systeem heeft de tools om een jpg te kunnen saven
Maar dat staat er niet. Er zou moeten staan ''Als een bestand niet in jpg opgeslagen kan of mag worden ..''. dan probeert men bmp.

Vermoed ik zomaar.
Het bronartikel bied ook niet echt uitkomt, dat is ook best slecht Engels. Maar goed, ze proberen het tenminste en de boodschap is helder.

En dat het er niet staat weet ik. Ik weet ook, uit ervaring, dat je voor jpeg wat libraries moet installeren op een aantal distros om er iets mee te kunnen vanaf de CLI. Niet iedereen/iedere distro heeft die standarad geinstalleerd staan, dus vandaar een fallback naar bmp.

.edit:
Volgens Securityweek) gaat het inderdaad om een fallback mecahnisme.

[Reactie gewijzigd door sfranken op 19 januari 2016 16:43]

Vreemde combinatie: screenshots + geluidsopname. Dat lijkt me iets voor een geheime dienst. Voor chantage zouden er eerder webcamshots genomen worden.
Voor chantage zouden er eerder webcamshots genomen worden.
Met webcams zit je vaak met een lampje die je zonder elevated rights + exploit (specifiek voor het model webcam, mits die een exploit heeft) niet uit kan schakelen. Dat valt sneller op dan een microfoon die opneemt. Dat laatste zie je immers niet. Bovendien zijn er meer apparaten met microfoons dan met webcams.

Via geluid kan je ook veel opvangen waarmee je men kan chanteren. Je moet het alleen allemaal afluisteren, terwijl je sneller door foto's/video's kan scrollen op interessante inhoud. ;)

[Reactie gewijzigd door The Zep Man op 19 januari 2016 16:05]

Mijn microfoon knipperd als deze aanstaat en gebruikt wordt. Gezien het een goedkoop aldi kreng is (zit wel prettig en fatsoenlijk geluid voor voice) zal deze vast wel exploitbaar zijn.
muah, je wilt niet weten hoe veel mensen hun wachtwoord mompelen als ze het aan het intikken zijn. Dus screenshots om te zien waar iemand inlogt, en horen wat het wachtwoord is is een mogenlijkheid. Niet iedereen doet het, maar je weet maar nooit wat je opvangt.

Ook beweren ze tegenwoordig op basis van het geluid te kunnen achterhalen wat je typt dus zou het best een flink risico kunnen zijn
Dan zou ik al veel eerder een keylogger installeren eigenlijk, veel gemakkelijker.
Dan moet je wel toegang hebben tot de toetsenbord invoer, en iets zegt me dat dat op linux wel redelijk afgeschermd is met een gebruikers account. Anders zou je bijvoorbeeld ook via een lek in de browser alle keystrokes incl het inloggen als root enzo kunnen vastleggen. Ik heb het nooit geprobeerd, maar iets zegt me dat linux dat niet zo makkelijk zal maken en toetsenbord input wel zal beperken tot de applicatie die op dat moment actief is.
Een keylogger installeren als je eenmaal root toegang hebt zal ongetwijfeld wel kunnen, maar als gebruiker zou toch een serieuze fout zijn imho.
Hoe de trojan zich verspreidt, meldt het anti-virusbedrijf niet.
Nou net de informatie die ik het meest wou weten...

[Reactie gewijzigd door Cilph op 19 januari 2016 15:52]

Trojans verspreiden zichzelf niet, je moet ze echt zelf binnen. Vandaar ook de naam.
Verder wordt er ook niet aangegeven welke bestanden er door deze Trojan gedownload worden.
Het is allemaal redelijk summier.

Daarnaast is mij niet geheel duidelijk waarom de genoemde bestanden aangemaakt worden als ze niet gevonden worden.
Naast de mogelijkheid om screenshots te nemen, zit er ook code in de trojan om geluid op te nemen en dit op te slaan als .aat-file in wav-formaat. Volgens Doctor Web wordt dit verder nergens voor gebruikt.
Dit vind ik een vrij bijzonder statement. Waarom zou je een trojan iets laten doen (dus extra lines code toevoegen) om vervolgens niks met de data te doen?
Misschien zou dat pas komen in versie 2.0
Een leuke als je beseft dat menig smart tv vaak ook op enige vorm van linux draait.

Wanneer gat hij foto's maken via een eventueel aanwezige webcam? al dan niet verwerkt in de bezel van een smart tv?
Ik hoop maar dat ze van reclame houden.
Of zouden ze alle losse frames aan elkaar knopen en zo GoT remasteren? :)

Op dit item kan niet meer gereageerd worden.



Samsung Galaxy S7 edge Athom Homey Apple iPhone SE Raspberry Pi 3 Apple iPad Pro Wi-Fi (2016) HTC 10 Hitman (2016) LG G5

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True