SHA1:
- e43fd0752b8c03ffae628a6b83e2a03944f11f4e
Бэкдор для операционных систем семейства Linux, обнаружен в библиотеке libz. В процессе работы перехватывает вызовы системных функций __libc_start_main, sscanf, __syslog_chk, fopen и fgets. Инициализируется в __libc_start_main, основной код расположен в функции sscanf. Работает только с бинарными файлами, обеспечивающими обмен данными по протоколу SSH. Не работает, если имя запускаемого файла совпадает с /usr/sbin/sshds. Для внешнего подключения использует не текущий открытый сокет, а первый открытый сокет из 1024, после чего сокет переносится в 0-й дескриптор, а остальные 1023 закрываются.
Протокол связи шифруется с использованием алгоритма RC4, строки также шифруются. Бэкдор может выполнять следующие команды:
| Команда | Действие | Аргументы |
|---|---|---|
| exec | запустить двоичный файл | имя файла |
| tcp | подключиться к host:port | host, port |
| up | скачать файл | имя файла |
