并能过rootkit隐藏相应的网络端口号,如图所示:
病毒安装rootkit之前会先收集感染机器的内核版本信息等,如图所示:
然后能过判断/proc/rs_dev是否可读,来判断LVM rootkit安装成功与否,如果存在LVM,则调过ioctl命令,执行相应的rootkit功能,隐藏进程端口,文件等功能,病毒通过http://www1.gggatat456.com/dd.rar配置信息网站,然后利用HTTP请求,下载配置文件信息,如图所示:
下载之后的配置文件,通过前面的解密函数进行解密,并对不同的信息,进行不同的操作,不同的配置信息包括:denyip,filename,rmfile,killpid等,执行如下所示的操作:
病毒会执行相应的下载,更新,发送信息,结束进程,并通过多线程发起ddos攻击,如图所示:
执行ddos攻击的代码add_task,如下所示:
发表评论