SHA1:
- 04c467b82ee5f06ed6987849e7b32a15c087b9c3 (unpacked)
- 4ef259d95dc0b1bc52edb79aff661876b4f4be84 (packed)
Троянская программа, предназначенная для заражения роутеров, работающих под управлением ОС семейства Linux. Единственным назначением троянца является взлом роутера и загрузка на него вредоносного скрипта, скачивающего и устанавливающего бэкдоры, собранные в соответствии с используемой роутером архитектурой, — ARM, MIPS или PowerPC.
При запуске троянец принимает входные параметры, определяющие диапазон IP-адресов для последующего сканирования, а также тип атаки. В ходе атаки используется значение User-Agent:
User-Agent: x00_-gawa.sa.pilipinas.2015Вредоносная программа способна реализовывать четыре типа атак:
- атака на роутеры Linksys с использованием уязвимости в протоколе HNAP (Home Network Administration Protocol);
- атака на роутеры Linksys с использованием уязвимости CVE-2013-2678 (c целью авторизации троянец пытается подобрать сочетание логина и пароля по специальному словарю);
- атака с использованием уязвимости ShellShock (CVE-2014-6271);
- атака с использованием уязвимости в подсистеме удаленного вызова команд маршрутизаторов Fritz!Box.
Установленные троянцем Linux.PNScan.1 вредоносные сценарии загружают на инфицированное устройство файлы, которые детектируются антивирусным ПО Dr.Web как Linux.BackDoor.Tsunami.133 и Linux.BackDoor.Tsunami.144.
