Linux.Ellipsis.1

SHA1:

• dc4229d5fb4ee05ad2f7643e57a5d5796e43e8c8 (unpacked)
• 29d053a4ed228630904538cfb859d7ad54281161 (packed)

Вредоносная программа для ОС Linux, предназначенная для организации на инфицированном компьютере прокси-сервера. Распространяется путем подбора пары логин-пароль для доступа по протоколу SSH.

Может принимать следующие входные аргументы:

• --lport - локальный порт для использования под прокси;
• --laddr - локальный адрес для использования под прокси;
• --cport - порт управляющего сервера;
• --caddr – IP-адрес управляющего сервера;
• --debug - не используется;
• --timeout - таймаут для запросов;
• --ident - параметр ident для стандартной функции syslog;
• --name – то же, что ident;
• --syslog – включить запись информации в системный журнал;
• --transproxy - реализовать SOCKS-прокси на зараженной машине;
• --secret - если задан данный параметр, то удаляет свой оригинальный файл и создает свою копию в директории "/etc/tirqd";
• --noweb - не поддерживать HTTP-трафик;
• --anti - включить «параноидальный» режим;
• --pretimeout – то же, что и timeout;
• --udp – IP-адрес управляющего сервера (данные будут отправлены методом, отличным от caddr);
• --killer – «убивать» процессы при обращении к определенным адресам;
• --badcn – список адресов для блокировки;
• --yaban - не используется.

В процессе инициализации троянец удаляет свой рабочий каталог ("/tmp/.../") и очищает правила для iptables. Затем он завершает различные приложения, в том числе программы для ведения и просмотра логов, анализа трафика:

killall syslogd rsyslogd syslog syslog-ng named dnscache dnsmasq tcpdump
killall -9 syslogd rsyslogd syslog syslog-ng named dnscache dnsmasq tcpdump
kill -9 `pidof syslogd rsyslogd syslog syslog-ng named dnscache dnsmasq tcpdump`

После этого троянец удаляет существующие файлы журналов по маскам "/var/log/*" и "/disk/*log*". На их месте, с целью предотвращения создания директорий и файловых объектов с такими же именами в будущем, создает следующие каталоги:

mkdir /var/log/all.log /var/log/auth.log /var/log/messages /var/log/secure /var/log/everything.log /var/log/messages.log /disk/all.log /disk/auth.log /disk/messages /disk/secure /disk/everything.log /disk/messages.log

Вредоносная программа модифицирует конфигурационный файл "/etc/coyote/coyote.conf" таким образом, чтобы он содержал строку:

alias passwd=cat\n

Удаляет следующие системные утилиты из каталогов /bin/, /sbin/, /usr/bin/:

• passwd
• chattr
• lsattr
• tcpdump
• wget
• netstat
• pstree
• strace
• curl
• lsof
• reboot
• shutdown
• poweroff
• halt

Устанавливает флаг «immutable» для следующих файлов:

• /usr/sbin/iptables
• /sbin/iptables
• /etc/shadow
• /etc/passwd
• /bin/ps
• /bin/grep

Если троянцу был передан список адресов с помощью аргумента «badcn», эти адреса блокируются, также блокируются адреса, содержащиеся в трех списках, которые хранятся в теле троянца. Под «блокировкой» понимается предотвращение приема или передачи пакетов информации с/на определенный IP-адрес по заданному порту или протоколу с помощью создания соответствующих правил iptables. Для первых двух списков блокируются TCP- и ICMP-пакеты, для третьего списка - все.

Для каждого заблокированного IP или диапазона IP создается соответствующий файл в домашнем каталоге троянца с расширением ".filtered".

В целях реализации своей основной функции — работы в качестве прокси-сервера — троянец открывает заданный порт и контролирует соединения по заданному локальному адресу laddr:lport или, если laddr не задан, 0.0.0.0:lport.

Если во входящих параметрах троянцу был задан аргумент "noweb", вредоносная программа анализирует передаваемый от клиента серверу трафик и ищет в пакетах строки:

Accept-Language: 
User-Agent: Mozilla/

После чего заменяет их на

Client: %08X

где вместо %08X подставляется IP-адрес управляющего сервера в hex-представлении. Также строка

?ip=12345678for

заменяется на

?ip=%08Xfor

где вместо %08X также подставляется IP-адрес управляющего сервера в hex-представлении.

Если во входящих параметрах троянцу был задан аргумент "anti" и "lport" со значением "80", то в пакетах выполняется поиск строки "Location: http://" и в случае ее обнаружения троянец создает пустой файл с именем "/tmp/.../ip.good", где ip – IP-адрес, специально сформированный троянцем. Алгоритм генерации:

rndnum = Rnd() % 25 + 97;
ip_a ^= rndnum ^ 5;
ip_b ^= rndnum ^ 8;
ip_c ^= rndnum ^ 10;
ip_d ^= rndnum ^ 3;
sscanf(dword_807A728, "%d.%d.%d.%d", &ip_a, &ip_b, &ip_c, &ip_d);

Кроме того, если параметр "lport" был указан со значениями 80 или 8080, то в пакетах выполняется поиск строки " PHP//apsession/", при обнаружении которой троянец подставляет в пакет строку, сформированную следующим образом:

snprintf(&phpapsession, 10, "%c%02x%02x%02x%02x", rndnum, ip_a, ip_b, ip_c, ip_d);

Троянец имеет довольно обширный список характерных строк, обнаруживая которые в сетевом трафике он блокирует обмен данными с соответствующим удаленным сервером по IP-адресу:

kproxy.com
Mozilla/5.0 (compatible; coccoc/1.0; +http://help.coccoc.com/)
Mozilla/5.0 (compatible; LinkpadBot/1.06; +http://www.linkpad.ru)
Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0); 360Spider
Mozilla/5.0 (compatible; oBot/2.3.1; +http://filterdb.iss.net/crawler/)
Mozilla/5.0 (compatible; spbot/4.0.9; +http://OpenLinkProfiler.org/bot )
Mozilla/5.0 (compatible; spbot/4.1.0; +http://OpenLinkProfiler.org/bot )
Mozilla/5.0 (compatible; SputnikBot/2.3)
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1; 360Spider
Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.0.13) Gecko/2009073022 Firefox/3.5.2 (.NET CLR 3.5.30729) SurveyBot/2.3 (DomainTools)
Mozilla/5.0 (Windows; Crawler; U; Windows NT 6.0; en-US; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7 (.NET CLR 3.5.30729)
Hellocoton.fr
nutch-1.4/Nutch-1.4
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; InfoPath.2; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E)
Mozilla/4.0 (Windows 98; US) Opera 10.00 [en]
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10
Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7
Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.1.249.1025 Safari/532.5
Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.16
SurveyBot
DomainTools
SV1; InfoPath.2; .NET CLR 2.0.50727
Chrome/4.1.249.1025
YandexBot
SpeedTestSpeedTest
ooglebot
panscient.com
Yahoo! Slurp;
spamspamspam
slowhttptest
ihatespammers
nospam.html
SpamBlocker
Hendas HTTP
/?stopspamme
/?injection
User-Agent: Java
../../..
djbghklmxtvwtyafzchcm
eghijkacfm.herathle
Wget
SPAMMING
stop_spaming_me
GET /10.php HTTP
GET /20.php HTTP
GET /30.php HTTP
GET /40.php HTTP
odfnh.brahfuwzu
lylvueleb
impulse-m.
dnikoydle
gisro.a
goodcarecard.a

Также в этот перечень добавляется содержимое файла "/etc/badwords". Список запрещенных слов также имеет вариативную часть, которая зависит от содержимого входного пакета:

• Если HTTP-заголовок содержит строку:

  User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

  тогда в список запрещенного добавляются значения:

  eapmygev.
  ascuviej.

• Если указаны поля:

  Accept: */*\nAccept-language: en-us\n

  или имеется строка:

  xonfavhowl

  тогда запрещенный список пополняется строкой:

  GET /index.php HTTP

• Если указано поле:

  Accept-Language: en-US

  А также отсутствует поле "Referer", и поле GET содержит одну строку из списка:

  GET /products/ HTTP
  GET /cart/ HTTP
  GET / HTTP

  тогда в список запрещенных строк добавляется значение:

  Accept: */*

• Если был запрошен файл с расширением .gif или .jpg, то в «черный список» попадают строки:

  _ HTTP
  spammer
  CONTACTING_US

• Если указано поле

  Accept:

  тогда черный список пополняется строкой

  sssid=

Также троянец использует список подозрительных, игнорируемых слов, в который добавляется содержимое файла "/etc/ignorewords".

Помимо блокировки удаленных узлов по адресам из заложенного в него списка троянец проверяет все сетевые подключения компьютера и отсылает на управляющий сервер IP-адрес, с которым установлено соединение. Если сервер отвечает командой "kill", троянец прекращает работу приложения, которое установило соединение, а заодно блокирует этот IP-адрес с помощью iptables. В своем домашнем каталоге Linux.Ellipsis.1 создает файл с именем "ip.filtered", где вместо "ip" подставляется строчное представление заблокированного IP-адреса. Аналогичная проверка производится для процессов, имеющих в имени строку "sshd". IP-адреса из списков блокируются навсегда, в то время как все остальные — на 2 часа: отдельный процесс троянца раз в полчаса проверяет содержимое собственного домашнего каталога и ищет там файлы, созданные более двух часов назад, имя которых начинается с IP-адреса, после чего удаляет их и соответствующее правило в таблице iptables.

Новость о троянце