Техническая информация
Вредоносные функции:
Запускает себя в качестве демона
Модифицирует настройки брандмауэра:
- iptables -I INPUT -p tcp --destination-port 23 -j ACCEPT
- iptables -I INPUT -p tcp --destination-port 80 -j DROP
- iptables -I INPUT -p tcp --destination-port 8080 -j DROP
Запускает процессы:
- sh -c echo 3 > /proc/sys/vm/drop_caches
- sh -c killall telnetd utelnetd scfgmgr
- sh -c iptables -I INPUT -p tcp --destination-port 23 -j ACCEPT
- sh -c iptables -I INPUT -p tcp --destination-port 8080 -j DROP
Пытается завершает следующие процессы:
- killall telnetd utelnetd scfgmgr
Завершает следующие процессы:
- <SAMPLE>
Выполняет операции с файловой системой:
Удаляет папки:
- <SAMPLE_FULL_PATH>
Создает или модифицирует файлы:
- /proc/sys/vm/drop_caches
- /root/catrunv1.2.pid
Удаляет файлы:
- <SAMPLE_FULL_PATH>
Сетевая активность:
Ожидает входящих соединений на портах:
- 127.0.0.1:12399
- 0.0.0.0:23
Устанавливает соединение:
- 8.#.8.8:53
- <LOCAL_DNS_SERVER>
- 19#.##2.241.236:123
- 91.###.89.199:123
- 85.##.78.23:123
Проводит атаку перебором по словарю (брутфорс) по протоколу Telnet.
DNS ASK:
- nt#.#buntu.com
- po##.ntp.org
Посылает данные следующим серверам:
- 85.##.78.23:123
Получает данные от следующих серверов:
- 85.##.78.23:123
