SHA1:
- d24e1970cf29065d3c9ec37ae7fec3e99de08831
- d4fbe3946d0fbbd5632fa2a75cc1dcae9d939e9e
- d3bb1db769a52c23efe439ebbe4a1a4ce055b7a9
- 5ea9d12fb91377a04cbacfe0c5de37442746805a
Вредоносная программа для операционных систем семейства Linux, предназначена для получения несанкционированного доступа к различным устройствам путем подбора логина и пароля по словарю («брутфорс»).
После запуска создает 200 идентичных потоков. Троянец генерирует случайный IP-адрес и проверяет, чтобы он не совпадал со следующими масками:
0.*.*.*
10.*.*.*
127.*.*.*
(IP & 0xFFC00000) == 0x64400000
Далее пытается установить соединение с устройством по каждому из этих адресов с использованием порта 22 и пройти авторизацию с использованием пары «логин-пароль» из встроенного словаря, содержащего 10 851 значение. Для подтверждения прохождения авторизации отправляет устройству команду "id".
Если подбор данных для авторизации завершился успешно, отсылает на управляющий сервер отклик с использованием POST-запроса:
123.***.***.120/stat.asp
Данные POST-запроса:
data=<ip> <login> <pws>
где <ip>, <login>, <pws> - данные скомпрометированного устройства.
При этом используется User-Agent:
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.3) Gecko/20090913 Firefox/3.5.3