Linux.DDoS.Xor.2

SHA1:

• d0825f79a6e96ae1cb9a458f6f958deabf9b7111

Троянская программа для ОС Linux, предназначенная для осуществления DDoS-атак на различные сетевые узлы. Ее конфигурационный файл зашифрован побайтно с использованием алгоритма XOR, при этом ключ «зашит» в тело вредоносной программы. Некоторые образцы несут в себе руткит Linux.Rootkit.38.

При запуске пытается сохранить собственную копию в папке, указанной в конфигурационном файле. Также пытается скопировать себя в папки /usr/bin, /bin/ или /tmp/ со случайным именем длиной 10 символов, после чего удаляет исходный файл. Для собственного автоматического запуска использует планировщик заданий cron, регистрируя в нем запуск сценария /etc/cron.hourly/cron.sh, содержащего следующие строки:

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp/lib/libgcc.so /lib/libgcc.so.bak
/lib/libgcc.so.bak

Затем троянец создает файл "/etc/init.d/<fname>", где fname – его собственное имя. Для этого файла формирует 5 символических ссылок в "/etc/rc%d.d/S90%s", где %d - 1 .. 5, а %s - собственное имя вредоносной программы.

Проверяет наличие установленного в систему руткита обращением к "/proc/rs_dev". Если руткит присутствует, троянец будет использовать его для сокрытия своих файлов, процессов и сетевой активности.

В завершение установки выполняет следующие команды:

chkconfig --add <rclocal_file>
update-rc.d <rclocal_file defaults
sed -i '/\\/etc\\/cron.hourly\\/cron.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/cron.sh' >> /etc/crontab

В процессе работы троянец получает конфигурационный файл с управляющего сервера. Если этот файл содержит соответствующие данные, Linux.DDoS.60 может прервать выполнение любого процесса по совпадению имени, md5-хэша, по обращению к определенному ip, либо удалить любой указанный в конфигурации файл. Троянец может выполнять следующие команды: