Découvert par Doctor Web, Ekoms est un cheval de Troie qui cible les systèmes Linux. Il est capable d'espionner les utilisateurs en prenant des captures d'écran toutes les 30 secondes et dissimule également une fonctionnalité d'enregistrement de l'audio non activée.

Ce nuisible Ekoms a été autrement baptisé Mokes par divers éditeurs de solutions de sécurité dont Sophos, ainsi que Kaspersky Lab qui en l'étudiant a mis au jour une variante pour Windows, et en l'occurrence pour les systèmes 32 bits.

Avec une fonctionnalité de keylogger en plus, le malware pour Windows œuvre comme son alter ego pour Linux dans le sens où il se connecte à un serveur de commande et contrôle de la même manière. Une fois par minute, il envoie un signal afin de recevoir des instructions. Le port 433 en TCP est utilisé.

Pour Mokes sur Windows, Kaspersky Lab a en outre découvert la présence d'un certificat électronique dérobé et publié par Comodo. Par ailleurs, une autre variante a activé le module de capture de l'audio.

Du fait de sa conception voulue indépendante d'une plateforme, une variante pour OS X de ce cheval de Troie n'est pas à exclure. La dangerosité est toute relative puisque ce malware est désormais clairement identifié.