SHA1:
- 187842e65c2e4ab4ba48a0805e2fcd85c45e4446
Троянец для ОС Linux. При запуске пытается детектировать ханипоты с использованием спецсимволов терминала:
/bin/busybox wget; /bin/busybox 81c46036wget; /bin/busybox echo -ne '\x0181c46036\x7f'; /bin/busybox printf '\00281c46036\177'; /bin/echo -ne '\x0381c46036\x7f'; /usr/bin/printf '\00481c46036\177'; /bin/busybox tftp; /bin/busybox 81c46036tftp;
Подключается к управляющему серверу, адрес которого имеется в исполняемом файле. Получает 4 байта и отправляет пакет данных:
struct StartPacket {
short field_0; // контрольная сумма всего пакета
short field_2; // версия (0x11)
int field_4; // контрольная сумма field_2
int field_8; // полученные байты
int field_C; // контрольная сумма field_8
}Получает подтверждение, а затем — адреса двух серверов. Первый используется для получения списка логинов и паролей, второй — для работы SOCKS-прокси-сервера. Взаимодействие с этими серверами осуществляется в двух разных потоках.
