通过edb动态调试如下,在生成文件的时候使用随机文件名,病毒将自身拷贝到相应的目录下,如图所示:
拷贝完成如图所示:
病毒会把自身复制到如下目录列表中:
/usr/bin/,/lib/libudev.so,/bin/,/lib/,/tmp/
复制完成之后,它会把文件的做一点小的修改,使每个复制之后的md5值都不相同,实现简单的多态变型,代码如下:
加载设置自启动服务项,如图所示:
生成/etc/init.d/tmoogsb,文件内容如下:
修改/etc/cron.hourly/gcc.sh文件,将下面的脚本信息写入gcc.sh文件中,如图:
同时将/etc/init.d/tmoogsb文件拷贝生成到相应的目录下,实现多进程守护自启动,通过edb调试如下:
最后生成的文件列表如下:
/etc/rc1.d/S90tmoogsb
/etc/rc2.d/S90tmoogsb
/etc/rc3.d/S90tmoogsb
/etc/rc4.d/S90tmoogsb
/etc/rc5.d/S90tmoogsb
/etc/rc.d/rc1.d/S90tmoogsb
/etc/rc.d/rc2.d/S90tmoogsb
/etc/rc.d/rc3.d/S90tmoogsb
/etc/rc.d/rc4.d/S90tmoogsb
/etc/rc.d/rc4.d/S90tmoogsb
增加系统服务:chkconfig –add tmoogsb,修改/etc/crontab,修改后的crontab内容如下:
病毒通过解密算法,解密远程服务器地址列表,通过edb动态调试如下所示:
解密完成之后的远程服务器列表如下:
aaa.gggatat456.com
aaa.xxxatat456.com:6000
bbb.gggatat456.com:22
bbb.xxxatat456.com:22
bbb.gggatat456.com:443
bbb.xxxatat456.com:443
然后通过/proc/meminfo,/proc/cpuinfo将感染后的机器相应信息发送到远程服务器上,如图所示:
发表评论