#!/bin/shPATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin’for i in `cat /proc/net/dev|grep :|awk -F: {‘,27h,’print $1′,27h,’}`; do ifconfig $i up& donecp /lib/udev/udev /lib/udev/debug/lib/udev/debug
最后在crontab中插入一行代碼“*/3 * * * * root /etc/cron.hourly/cron.sh”
主程序主要有三個(gè)任務(wù),而且這三個(gè)任務(wù)是無(wú)限循環(huán)執(zhí)行的:
1、下載并執(zhí)行機(jī)器的配置文件;
2、將自身重裝到/lib/udev/udev的文件��;
3�����、進(jìn)行洪水攻擊
其中配置文件主要包含接下來(lái)四個(gè)類型:md5��,denyip����,filename和rmfile��。主程序分別用這四個(gè)列表內(nèi)容來(lái)進(jìn)行下一步的動(dòng)作:根據(jù)md5值匹配一個(gè)運(yùn)行進(jìn)程的CRC的校驗(yàn)值���,匹配則將其殺死��;根據(jù)ip值來(lái)激活一個(gè)會(huì)話����;根據(jù)filename值和rmfile值來(lái)確定執(zhí)行或者最后刪除一個(gè)確定的文件。下圖就展示了部分配置文件的內(nèi)容(已知的競(jìng)爭(zhēng)泛濫的木馬文件名被高亮顯示):
在進(jìn)行自身安裝之前先把其他的木馬清除是一個(gè)洪水木馬的典型特征(你丫跟老子爭(zhēng)地盤不干你干誰(shuí))���。
除此之外��,我們還注意到��,這個(gè)木馬還是一個(gè)ARM架構(gòu)木馬的變種�����。這表明潛在的受感染系統(tǒng)的列表(除32位和64位的Linux Web服務(wù)器外)還有可能擴(kuò)展到路由器或者網(wǎng)絡(luò)上的其他可能運(yùn)行*nix的設(shè)備上����,不過(guò)這也只是一種可能性�,目前根據(jù)監(jiān)測(cè)還未在其他平臺(tái)發(fā)現(xiàn)過(guò)此類木馬。木馬還包含一個(gè)daemondown的功能�����,專門處理進(jìn)行文件下載運(yùn)行工作:
在此之前�����,我們?cè)孬@過(guò)一個(gè)該木馬的32位變種,變種木馬有了一些差異��。木馬文件安裝為/lib/libgcc4.so文件���,含有辨識(shí)字符串(見(jiàn)下文)的唯一的文件是/var/run/udev.pid���。安裝的腳本文件則在 /etc/cron.hourly/udev.sh,并且rootkit特性被完全移除��。所有的這些文件就是攻陷指標(biāo)(IoC)�����。
小編推薦閱讀
