Tietoturvayhtiö Dr.Web tarkkailee uutta Linux-haitaketta, joka ottaa kuvakaappauksia käyttäjän työpöydästä.

Linux.Ekocms-nimellä tunnettu haitake on osa vakoiluohjelmaperhettä ja se on suunniteltu ottamaan ruutukaappaus käyttäjän ruudulta puolen minuutin välein. Napsitut kuvat haitake lataa proxy-palvelimen kautta omalle hallintapalvelimelleen. Yhteys on salattu, joten sen murtaminen on tietoturvatutkijoille hankalaa.

Linux.Ekocms-haitakkeeseen on koodattu myös mahdollisuus nauhoittaa ääntä tietokoneen mikrofonilla, mutta ainakaan ensimmäisessä versiossa kyseistä ominaisuutta ei ole aktivoitu käyttöön.

Haittaohjelma tallentaa ottamansa ruutukaappaukset seuraaviin hakemistoihin:

$HOME/$DATA/.mozilla/firefox/profiled

$HOME/$DATA/.dropbox/DropboxCache

Napsitut kuvat tallennetaan jpeg-tiedostomuodossa. Mikäli tämä ei jostain syystä onnistu, valitsee haitake näille bpm-formaatin. Haitakkeen on havaittu käyttävän vain näitä kahta tallennuskansiota. Mikäli niitä ei ole luotu, Linux.Ekocms luo ne automaattisesti.

Tällä hetkellä Linux.Ekocms on tehokas vakoilutyökalu, jolla rikollinen voi selvittää, mitä sovelluksia käyttäjä koneellaan käyttää ja millä verkkosivuilla hän vierailee. Asiaa tutkinut Dr.Web ei suostu paljastamaan, miten haitake pääsee luikertelemaan Linux-koneelle, Softpedia kirjoittaa.