Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Linux.DDoS.Xor.2

Добавлен в вирусную базу Dr.Web: 2016-09-29

Описание добавлено:

SHA1:

  • d0825f79a6e96ae1cb9a458f6f958deabf9b7111

Троянская программа для ОС Linux, предназначенная для осуществления DDoS-атак на различные сетевые узлы. Ее конфигурационный файл зашифрован побайтно с использованием алгоритма XOR, при этом ключ «зашит» в тело вредоносной программы. Некоторые образцы несут в себе руткит Linux.Rootkit.38.

При запуске пытается сохранить собственную копию в папке, указанной в конфигурационном файле. Также пытается скопировать себя в папки /usr/bin, /bin/ или /tmp/ со случайным именем длиной 10 символов, после чего удаляет исходный файл. Для собственного автоматического запуска использует планировщик заданий cron, регистрируя в нем запуск сценария /etc/cron.hourly/cron.sh, содержащего следующие строки:

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp/lib/libgcc.so /lib/libgcc.so.bak
/lib/libgcc.so.bak

Затем троянец создает файл "/etc/init.d/<fname>", где fname – его собственное имя. Для этого файла формирует 5 символических ссылок в "/etc/rc%d.d/S90%s", где %d - 1 .. 5, а %s - собственное имя вредоносной программы.

Проверяет наличие установленного в систему руткита обращением к "/proc/rs_dev". Если руткит присутствует, троянец будет использовать его для сокрытия своих файлов, процессов и сетевой активности.

В завершение установки выполняет следующие команды:

chkconfig --add <rclocal_file>
update-rc.d <rclocal_file defaults
sed -i '/\\/etc\\/cron.hourly\\/cron.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/cron.sh' >> /etc/crontab

В процессе работы троянец получает конфигурационный файл с управляющего сервера. Если этот файл содержит соответствующие данные, Linux.DDoS.60 может прервать выполнение любого процесса по совпадению имени, md5-хэша, по обращению к определенному ip, либо удалить любой указанный в конфигурации файл. Троянец может выполнять следующие команды:

cmdОписание
0x02Остановить DDoS-атаку
0x03Начать DDoS-атаку
0x06Скачать файл с управляющего сервера
0x07Обновить файл троянца
0x08Выслать на управляющий сервер md5-хэш своего файла
0x09Получить конфигурационный файл с данными останавливаемых процессов

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру