SHA1:
- 665346a64bee0ff2a52f004855d389433b4f0ce9 (6-я версия)
- 84f7c64940e80a11b075b256ebba8e9c0d5b90e0 (7-я версия)
- 7f27cfb76644b606959486f40cf4c4d8810e6977 (8-я версия)
- 8f4ad9f9c9bb6bf0d9e533f56f5cc13682b37c19 (9-я версия)
- 2c99068a37e59c1bfbb7c0f8a95952b35031267d (10-я версия)
Усовершенствованные версии Linux-бэкдора Linux.BackDoor.Xudp.1. Отличия:
- вместо transfer.php запрашивается файл link.php;
- сохраняет себя под именем /lib/sock;
- на управляющий сервер в Http_thread отсылается следующая информация:
- количество ядер процессора;
- объем памяти;
- значение uname-a;
- содержимое /etc/issue.
В версии 8 (7f27cfb76644b606959486f40cf4c4d8810e6977) удалена функция RUN, вместо нее появилась функция SYSTEMEXIT: при ее использовании вызывается popen, на управляющий сервер отсылается вывод, и бэкдор завершает работу. Также была модифицирована функция TCP_Flood.
9-я версия бэкдора (8f4ad9f9c9bb6bf0d9e533f56f5cc13682b37c19) детектируется как Linux.BackDoor.Xudp.3, в ней по сравнению с Linux.BackDoor.Xudp.1 был добавлен новый вид атаки: Dns Amplification.
