Эксперты «Лаборатории Касперского» обнаружили образец вредоносного программного обеспечения, идентичный троянской программе Linux.Ekoms, найденной ранее специалистами из «Доктор Веб». Вредоносная программа, разработанная для Linux, получила имя Backdoor.Linux.Mokes.a. Однако в отчете эксперты также указали, что данная программа имеет версию для Windows.
В конце января специалисты из «Доктор Веб» рассказали об обнаружении троянской программы Linux.Ekoms.1, которая с определенной периодичностью делает скриншоты и загружает различные файлы на инфицированный компьютер.
Позже сотрудниками «Лаборатории Касперского» была зафиксирована новая угроза – Backdoor.Linux.Mokes.a. Выяснилось, что данная троянская программа имеет 32-битную Windows-версию.
Принцип работы троянской программы для Windows схож с Linux-аналогом. В коде Windows-версии присутствуют некоторые модификации, однако они лишь отражают специфику работы операционной системы и потому их нельзя назвать существенными. Как и Linux-версия, троянская программа случайным образом выбирает для установки одну из девяти локаций в %AppData%, выходит на связь с командным сервером через определенные промежутки времени и ведет слежку за пользователем, осуществляя сохранение всех собранных данных, чтобы потом передать на сервер, принадлежащий злоумышленникам.
Windows-версия вредоносной программы имеет два основных отличия от Linux-версии: включенную функцию кейлоггера (в Linux-версии отключена) и использование украденных сертификатов Comodo для маскировки под легитимное и безопасное приложение из доверенного источника.
Позже эксперты добавили в отчет сообщение об обнаружении Backdoor.Win32.Mokes.imw – еще одной вариации троянской программы, имеющей включенную функцию звукозаписи (неактивна в Linux-версии).