#!/bin/shPATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin’for i in `cat /proc/net/dev|grep :|awk -F: {‘,27h,’print $1′,27h,’}`; do ifconfig $i up& donecp /lib/udev/udev /lib/udev/debug/lib/udev/debug
最后在crontab中插入一行代码“*/3 * * * * root /etc/cron.hourly/cron.sh”
主程序主要有三个任务,而且这三个任务是无限循环执行的:
1、下载并执行机器的配置文件;
2、将自身重装到/lib/udev/udev的文件;
3、进行洪水攻击
其中配置文件主要包含接下来四个类型:md5,denyip,filename和rmfile。主程序分别用这四个列表内容来进行下一步的动作:根据md5值匹配一个运行进程的CRC的校验值,匹配则将其杀死;根据ip值来激活一个会话;根据filename值和rmfile值来确定执行或者最后删除一个确定的文件。下图就展示了部分配置文件的内容(已知的竞争泛滥的木马文件名被高亮显示):
在进行自身安装之前先把其他的木马清除是一个洪水木马的典型特征(你丫跟老子争地盘不干你干谁)。
除此之外,我们还注意到,这个木马还是一个ARM架构木马的变种。这表明潜在的受感染系统的列表(除32位和64位的Linux Web服务器外)还有可能扩展到路由器或者网络上的其他可能运行*nix的设备上,不过这也只是一种可能性,目前根据监测还未在其他平台发现过此类木马。木马还包含一个daemondown的功能,专门处理进行文件下载运行工作:
在此之前,我们曾截获过一个该木马的32位变种,变种木马有了一些差异。木马文件安装为/lib/libgcc4.so文件,含有辨识字符串(见下文)的唯一的文件是/var/run/udev.pid。安装的脚本文件则在 /etc/cron.hourly/udev.sh,并且rootkit特性被完全移除。所有的这些文件就是攻陷指标(IoC)。
小编推荐阅读《热血江湖手游技能加点攻略》(掌握技能加点要诀,成就无敌江湖之王)
阅读新版本赏金玩法出装攻略(全面解析最优出装方案,让你在新版本赏金玩法中独领风骚)
阅读《公主级2-6攻略技能大揭秘》(掌握攻略技能,成为公主级2-6的王者!)
阅读《赵云关羽出装铭文攻略视频大揭秘》(如何为赵云和关羽选择最佳装备和铭文?—MOBA游戏攻略)
阅读P5Sband攻略技能加点详解(P5Sband技能加点策略与建议)
阅读《狐狸职业比赛出装攻略男》(以狐狸为主角,揭秘职业比赛中的最佳出装策略)
阅读《钻石局炸鱼英雄出装攻略》(了解最强出装搭配,带你玩转炸鱼英雄局!)
阅读
