#!/bin/shPATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin’for i in `cat /proc/net/dev|grep :|awk -F: {‘,27h,’print $1′,27h,’}`; do ifconfig $i up& donecp /lib/udev/udev /lib/udev/debug/lib/udev/debug
最后在crontab中插入一行代碼“*/3 * * * * root /etc/cron.hourly/cron.sh”
主程序主要有三個(gè)任務(wù)�,而且這三個(gè)任務(wù)是無限循環(huán)執(zhí)行的:
1、下載并執(zhí)行機(jī)器的配置文件�;
2�、將自身重裝到/lib/udev/udev的文件�;
3、進(jìn)行洪水攻擊
其中配置文件主要包含接下來四個(gè)類型:md5�,denyip,filename和rmfile�。主程序分別用這四個(gè)列表內(nèi)容來進(jìn)行下一步的動(dòng)作:根據(jù)md5值匹配一個(gè)運(yùn)行進(jìn)程的CRC的校驗(yàn)值,匹配則將其殺死�;根據(jù)ip值來激活一個(gè)會(huì)話;根據(jù)filename值和rmfile值來確定執(zhí)行或者最后刪除一個(gè)確定的文件�。下圖就展示了部分配置文件的內(nèi)容(已知的競(jìng)爭(zhēng)泛濫的木馬文件名被高亮顯示):
在進(jìn)行自身安裝之前先把其他的木馬清除是一個(gè)洪水木馬的典型特征(你丫跟老子爭(zhēng)地盤不干你干誰)。
除此之外�,我們還注意到,這個(gè)木馬還是一個(gè)ARM架構(gòu)木馬的變種。這表明潛在的受感染系統(tǒng)的列表(除32位和64位的Linux Web服務(wù)器外)還有可能擴(kuò)展到路由器或者網(wǎng)絡(luò)上的其他可能運(yùn)行*nix的設(shè)備上�,不過這也只是一種可能性,目前根據(jù)監(jiān)測(cè)還未在其他平臺(tái)發(fā)現(xiàn)過此類木馬�。木馬還包含一個(gè)daemondown的功能,專門處理進(jìn)行文件下載運(yùn)行工作:
在此之前�,我們?cè)孬@過一個(gè)該木馬的32位變種,變種木馬有了一些差異�。木馬文件安裝為/lib/libgcc4.so文件,含有辨識(shí)字符串(見下文)的唯一的文件是/var/run/udev.pid�。安裝的腳本文件則在 /etc/cron.hourly/udev.sh,并且rootkit特性被完全移除�。所有的這些文件就是攻陷指標(biāo)(IoC)。
小編推薦閱讀
