SHA1: c357fbcf428b07970f7a2ab26823336c5ff51f5c
Троянец, ориентированный на операционные системы семейства Linux и предназначенный для организации DDoS-атак. Известные его образцы собраны для аппаратных архитектур MIPS или ARM, поэтому, скорее всего, данная вредоносная программа предназначена для установки на роутеры.
Троянец способен выполнять следующие команды:
| Cmd | Команда |
|---|---|
| HULK | HTTP Flood |
| RAND | HTTP Flood |
| SSYN | Spoofed SYN Flood |
| HTTP | HTTP Flood (GET-запросы) |
| DNSQ | Атака на DNS-сервер с использованием запросов на получение адресов доменов |
| TCPM | SYN Flood |
| DNSL | Атака на DNS-сервер с использованием запросов на получение адресов доменов |
| STOP | Остановить DDoS-атаку |
При получении команды HULK будет выполняться HTTP Flood c применением GET-запросов, при этом троянец будет маскироваться под робота китайского поисковика Baidu:
"GET %s HTTP/1.1\r\n"
"Accept: */*\r\n"
"Accept-Encoding: gzip, deflate\r\n"
"User-Agent: Mozilla/5.0+(compatible;+Baiduspider/2.0;++http:/"
"/www.baidu.com/search/spider.html)\r\n"
"Host: %s:%d\r\n"
"Cache-Control: no-cache\r\n"
"Pragma: no-cache\r\n"
"Connection: Keep-Alive\r\n"
"Keep-Alive: %d\r\n"
"\r\n"При получении команды RAND будет выполняться HTTP Flood c применением GET-запросов, при этом будет формироваться пакет специального вида:
"GET %s?%d=%d HTTP/1.1\r\n"
"Accept: */*\r\n"
"Accept-Language: zh-cn\r\n"
"Accept-Encoding: gzip, deflate\r\n"
"User-Agent: Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)\r\n"
"Host: %s\r\n"
"X-Forwarded-For: %d.%d.%d.%d\r\n"
"Connection: Keep-Alive\r\n"
"\r\n"где в заголовок X-Forwarded-For подставляется случайно сформированный IP.
Разница между DNSQ и DNSL заключается в реализации запросов. В случае с DNSQ троянец сам формирует пакеты, а в обработчике DNSL используются библиотечные функции для формирования запросов DNS-серверу.
