Defend what you create

Other Resources

Close

Library
My library

+ Add to library

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

Your tickets

Profile

Linux.DnsAmp.2

Added to the Dr.Web virus database: 2014-04-21

Virus description added:

Группа троянских программ для ОС Linux, предназначенных для осуществления DDoS-атак. Cпособны инфицировать как 32-разрядные (Linux.DnsAmp.1), так и 64-разрядные (Linux.DnsAmp.2) версии Linux.

После запуска троянец автоматически регистрирует себя в параметрах автозагрузки ОС путем модификации файла etc/rc.d/rc.local. Далее троянец создает два потока, каждый из которых выполняет аналогичные действия, но использует разные управляющие сервера.

После установки соединения с управляющим сервером троянец собирает информацию о машине, на которой запущен, в частности:

  • Название и версия ОС;
  • Объем свободной памяти и Swap-кэша;
  • Частота процессора;
  • Данные из файла dosset.dtdb, которые записываются в этот файл при получении определенной команды от управляющего сервера.

Все полученные данные отправляются на удаленный управляющий сервер, от которого троянец ожидает получения команды. Если в процессе получения команды возникает ошибка, то троянец собирает дополнительную информацию, которая также отправляется на управляющий сервер.

В зависимости от значения ключа в принятой команде (значения DWORD по нулевому смещению), возможны следующие действия:

КлючКоманды
0x99Установка флага начала DDoS'а в ноль
0x4DEЗаписать данные из команды в файл dosset.dtdb
0x88Игнорировать команду
Ост. варианты при
key < 0x5DD
При флаге начала DDoS'a установленном в ноль, начинает атаку.
0x5DDЗаново начать выполнение функционала с момента определения адреса C&C сервера
(key > 0x5DD) && (key != 0xFF1)
&& (key != 0x99999) && (key != 0x6AF)Обновиться.
0xFF1Завершение работы.

По команде с удаленного сервера троянец может осуществлять процедуру обновления. В процессе обновления вызывается команда killall <название модуля>. Затем модуль удаляется и вызывается утилита wget для скачивания обновленного модуля в директорию /home. В случае успешного завершения загрузки файла ему устанавливается атрибут исполняемого (chmod +x). Последним шагом выполняется запуск скачанного файла.

При получении команды на начало DDoS-атаки формат команды имеет следующий вид:

СмещениеЗначение
76IP или домен жертвы (C-строка)
48Количество потоков для атаки
40Тип атаки

Среди возможностей данного класса троянцев необходимо отметить следующие типы атаки:

  • SYN Flood (отправка специально сформированного пакета атакуемому узлу до тех пор, пока он не перестанет отвечать на запросы);
  • UDP Flood (устанавливается соединение с атакуемым узлом по протоколу UDP, после чего троянец пытается отправить жертве 1000 сообщений);
  • Ping Flood (с использованием протокола ICMP формируется эхо-запрос, в котором в качестве идентификатора используется PID процесса, а данные представляют собой hex-значение 0xA1B0A1B0);
  • отправка запросов на серверы DNS (DNS Amplification);
  • отправка запросов на серверы NTP (NTP Amplification — в ранних версиях троянца функция реализована, но не используется).

Curing recommendations


Linux

After booting up, run a full scan of all disk partitions with Dr.Web Anti-virus for Linux.

Free trial

One month (no registration) or three months (registration and renewal discount)

Download Dr.Web

Download by serial number

The Russian developer of Dr.Web anti-viruses
Doctor Web has been developing anti-virus software since 1992
Dr.Web is trusted by users around the world in 200+ countries
The company has delivered an anti-virus as a service since 2007
24/7 tech support

Dr.Web © Doctor Web
2003 — 2021

Doctor Web is the Russian developer of Dr.Web anti-virus software. Dr.Web anti-virus software has been developed since 1992.

2-12А, 3rd street Yamskogo polya, Moscow, Russia, 125124