#!/bin/shPATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin’for i in `cat /proc/net/dev|grep :|awk -F: {‘,27h,’print $1′,27h,’}`; do ifconfig $i up& donecp /lib/udev/udev /lib/udev/debug/lib/udev/debug
最后在crontab中插入一行代碼“*/3 * * * * root /etc/cron.hourly/cron.sh”
主程序主要有三個任務(wù),而且這三個任務(wù)是無限循環(huán)執(zhí)行的:
1�����、下載并執(zhí)行機(jī)器的配置文件��;
2、將自身重裝到/lib/udev/udev的文件�;
3、進(jìn)行洪水攻擊
其中配置文件主要包含接下來四個類型:md5����,denyip,filename和rmfile����。主程序分別用這四個列表內(nèi)容來進(jìn)行下一步的動作:根據(jù)md5值匹配一個運(yùn)行進(jìn)程的CRC的校驗(yàn)值,匹配則將其殺死���;根據(jù)ip值來激活一個會話��;根據(jù)filename值和rmfile值來確定執(zhí)行或者最后刪除一個確定的文件��。下圖就展示了部分配置文件的內(nèi)容(已知的競爭泛濫的木馬文件名被高亮顯示):
在進(jìn)行自身安裝之前先把其他的木馬清除是一個洪水木馬的典型特征(你丫跟老子爭地盤不干你干誰)��。
除此之外�����,我們還注意到����,這個木馬還是一個ARM架構(gòu)木馬的變種。這表明潛在的受感染系統(tǒng)的列表(除32位和64位的Linux Web服務(wù)器外)還有可能擴(kuò)展到路由器或者網(wǎng)絡(luò)上的其他可能運(yùn)行*nix的設(shè)備上����,不過這也只是一種可能性�����,目前根據(jù)監(jiān)測還未在其他平臺發(fā)現(xiàn)過此類木馬��。木馬還包含一個daemondown的功能����,專門處理進(jìn)行文件下載運(yùn)行工作:
在此之前,我們曾截獲過一個該木馬的32位變種���,變種木馬有了一些差異��。木馬文件安裝為/lib/libgcc4.so文件��,含有辨識字符串(見下文)的唯一的文件是/var/run/udev.pid�。安裝的腳本文件則在 /etc/cron.hourly/udev.sh����,并且rootkit特性被完全移除���。所有的這些文件就是攻陷指標(biāo)(IoC)。
小編推薦閱讀
