SHA1:
- b56178f89fb04790c6069efcfefc22560edce237 (ARM)
- 780304f61e00e08d102a77bea2fc0404abac5e0e (x86)
- e1cff2ae566a13a425dee9b5c6f5275ecb763e53 (M68K)
- 4ced6e3d57d531944f82f1ab1a41a21bfae1ee1f (MIPS)
- e214a71947bc57e3ab00524cdeda4c2ff24dad84 (MIPSEL)
- 9cb64b74e951dd65fc4943cc81179e79c6e18ab2 (PPC)
- d76e2c462b618acc1b67e457de6d14d16fc0fe11 (SH4)
- 8738cc20b6a3ef42466acace285fbca24a59edc8 (SPARC)
Троянец, способный заражать устройства под управлением ОС Linux. Имеет версии для архитектур Intel x86, M68K, MIPS, MIPSEL, SPARC, SH4, Power PC, ARM. Предназначен для организации DDoS-атак. Распространяется с использованием sh-сценария (042141c06a102861755dbc28afd48de5a63a8c24). После запуска ожидает подключения к Интернету, в случае установки соединения связывается со своим управляющим сервером и отправляет на него информацию об инфицированном устройстве. Передаваемые данные имеют следующий вид:
"SYS/sn/$(uname -o)/nn/$(uname -n)/vr/$(uname -v)/me/$(uname -m)/build/1.377/"
Затем троянец отсылает на управляющий сервер запрос PING и ожидает поступления команд. Может выполнять следующие команды:
| Команда | Описание | Примечание |
|---|---|---|
| UD | Выполнить команду и ждать ее завершения | |
| SH | Выполнить команду в фоновом режиме | |
| PING | Отправить ping | |
| EXIT | Завершить собственное выполнение | |
| HTTP | Начать DDoS-атаку указанного узла | Принимает в параметрах имя атакуемого узла и продолжительность атаки в секундах |
Команды передаются троянцу без шифрования, обычным текстом, параметры отделяются пробелами. В процессе работы вредоносная программа использует следующий список DNS-серверов:
45.32.28.232
185.121.177.177
185.121.177.53
45.63.25.55
142.4.204.111
142.4.205.47
62.113.203.55
130.255.78.223
5.9.49.12
144.76.133.38
87.98.175.85
5.135.183.146
193.183.98.154
108.61.164.218
89.18.27.34
93.170.96.235
95.154.246.132
96.90.175.167
45.56.117.118
138.197.25.214
69.164.196.21
23.94.60.240
50.116.23.211
45.32.230.22
