Il n'est plus vraiment rare de trouver une machine fonctionnant avec un système Linux - en particulier des serveurs - qui a été infectée afin de rejoindre les rangs d'un botnet. Au troisième trimestre 2015, plus de 46 % des attaques DDoS enregistrées par Kaspersky Lab impliquaient des botnets Linux.
Même si sa conception a été pour le moins maladroite, un premier ransomware pour Linux a également été découvert fin 2015. Linux.Encoder avait été mis au jour par Doctor Web qui vient désormais de trouver un cheval de Troie Linux. Cela devient une vraie spécialité pour cet éditeur russe de solutions de sécurité. Son nom est Linux.Ekoms.1 et il a tout du petit espion.
Le malware inspecte deux dossiers en rapport avec Firefox et Dropbox (.mozilla/firefox/profiled ; .dropbox/DropboxCache). S'il ne les trouve pas, il opte pour un nouveau dossier où il effectue une copie de lui-même et depuis lequel il sera lancé.
En s'appuyant sur une adresse codée en dur dans son code, Linux.Ekoms.1 tente d'entrer en communication (chiffrée) avec un serveur distant. Toutes les 30 secondes, il effectue des captures d'écran qui sont sauvegardées au format JPEG dans un dossier temporaire et ultérieurement transmises au serveur.
Linux.Ekoms.1 a quelques autres artifices et spécificités. Il est également doté d'une fonctionnalité pour l'enregistrement de l'audio mais celle-ci n'a pour l'heure pas été activée. Une prochaine évolution envisagée par les auteurs du malware ?
Doctor Web ne divulgue malheureusement pas comment ce malware infecte des systèmes Linux et ne donne pas non plus une idée de l'ampleur de l'infection. Difficile alors de savoir si la menace est critique (ou s'il s'agit davantage d'une preuve de concept) mais c'est un bel argumentaire en faveur des anti-virus Linux…