Специалисты «Лаборатории Касперского» сообщили об обнаружении «брата-близнеца» трояна Linux.Ekocms, который ранее был найден экспертами компании «Доктор Веб». В классификации «Лаборатории Касперского» малварь, ориентированная на Linux системы, получила имя Backdoor.Linux.Mokes.a. Но согласно новому отчету, у вредоноса также имеется и версия для Windows.
В конце января сотрудники компании «Доктор Веб» сообщили об обнаружении трояна Linux.Ekoms.1. Малварь не только делает снимки экрана жертвы с определенной периодичностью, но способна загружать на зараженную машину различные файлы.
Чуть позже компании Sophos и «Лаборатория Касперского» также идентифицировали новую угрозу, дав ей названия Linux/Mokes-A и Backdoor.Linux.Mokes.a, соответственно.
Но оказалось, что атаками на пользователей Linux дело не ограничивается. В новом аналитическом отчете «Лаборатории Касперского» сообщается, что специалисты компании обнаружили 32-битную Windows-версию трояна.
В целом, принцип работы Windows-версии трояна схож с работой его Linux-двойника. Разумеется, в коде есть некоторые модификации, отражающие специфику работы ОС, но их нельзя назвать существенными. Принцип работы остался прежним: троян случайным образом выбирает для установки одну из девяти локаций в %AppData%, связывается с командным сервером через определенные промежутки времени и шпионит за своей жертвой, сохраняя все собранные данные локально, для последующей передачи на сервер злоумышленников.
Чуть позже в отчете появилось дополнение, гласящее, что компания обнаружила еще одну разновидность трояна: Backdoor.Win32.Mokes.imw. Этот образец может похвастаться еще и включенной функцией звукозаписи, которая тоже неактивна в версии для Linux. Каждые пять минут малварь создает новый аудиофайл.
Взято с Xakep.ru
