Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Linux.DnsAmp.5

Добавлен в вирусную базу Dr.Web: 2014-05-05

Описание добавлено:

Троянская программа для 32-разрядных дистрибутивов ОС Linux, предназначенная для осуществления DDoS-атак. Во многом схожа с другими представителями семейства Linux.DnsAmp.

После запуска троянец автоматически регистрирует себя в параметрах автозагрузки ОС путем модификации файла etc/rc.d/rc.local. Далее троянец создает два потока, каждый из которых выполняет аналогичные действия, но использует разные управляющие сервера.

После установки соединения с управляющим сервером троянец собирает информацию о машине, на которой запущен, в частности:

  • Название и версия ОС;
  • Объем свободной памяти и Swap-кэша;
  • Частота процессора;
  • Данные из файла dosset.dtdb, которые записываются в этот файл при получении определенной команды от управляющего сервера.

Все полученные данные отправляются на удаленный управляющий сервер, от которого троянец ожидает получения команды. Если в процессе получения команды возникает ошибка, то троянец собирает дополнительную информацию, которая также отправляется на управляющий сервер.

Троянец способен выполнять следующие команды:

ЗначениеКоманды
0x88Начать DDoS атаку
0x99Остановить DDoS атаку
0x4DEЗаписать данные в файл dosset.dtdb
0x6AFОбновиться
0xFF1Закрыть соединение с командным сервером
0x5DDНачать выполнение программы с момента определения адреса командного сервера

При получении команды на начало DDoS-атаки формат команды имеет следующий вид:

СмещениеЗначение
560IP или домен жертвы (C-строка)
48Количество потоков для атаки
40Тип атаки

Среди возможностей данного класса троянцев необходимо отметить следующие типы атаки:

  • SYN Flood (отправка специально сформированного пакета атакуемому узлу до тех пор, пока он не перестанет отвечать на запросы);
  • UDP Flood (устанавливается соединение с атакуемым узлом по протоколу UDP, после чего троянец пытается отправить жертве 1000 сообщений);
  • Ping Flood (с использованием протокола ICMP формируется эхо-запрос, в котором в качестве идентификатора используется PID процесса, а данные представляют собой hex-значение 0xA1B0A1B0);
  • отправка запросов на серверы DNS (DNS Amplification);
  • отправка запросов на серверы NTP (NTP Amplification — в ранних версиях троянца функция реализована, но не используется);
  • DDoS-атака на DNS-сервер.

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру