Loading
0

一次XorDDos变种样本的分析实战记录

并能过rootkit隐藏相应的网络端口号,如图所示:

病毒安装rootkit之前会先收集感染机器的内核版本信息等,如图所示:

然后能过判断/proc/rs_dev是否可读,来判断LVM rootkit安装成功与否,如果存在LVM,则调过ioctl命令,执行相应的rootkit功能,隐藏进程端口,文件等功能,病毒通过http://www1.gggatat456.com/dd.rar配置信息网站,然后利用HTTP请求,下载配置文件信息,如图所示:

下载之后的配置文件,通过前面的解密函数进行解密,并对不同的信息,进行不同的操作,不同的配置信息包括:denyip,filename,rmfile,killpid等,执行如下所示的操作:

病毒会执行相应的下载,更新,发送信息,结束进程,并通过多线程发起ddos攻击,如图所示:

执行ddos攻击的代码add_task,如下所示:

分页阅读: 1 2 3 4 5
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。