SHA1: bd24972a8e34bbd2e7f3b58d6d7fd1a94efa7355
Trojan-backdoor ciblant Linux sensé exécuter plusieurs fonctions malveillantes (serveur SOCKS proxy, remote shell, gestionnaire du système de fichiers) mais dont plusieurs ne sont actuellement pas opérationnelles. Nom interne du Trojan : "DDoS Attacker for Gh0st(sweet version 1.0)".
Il faut noter que les composants et les fichiers exécutables du Trojan sont compatibles avec les architectures Linux et Windows. Lors de son lancement, le backdoor vérifie la présence dans son dossier du fichier de configuration qui comprend les paramètres suivants :
'remote_host'
'remote_port'
'remote_host2'
'remote_port2'
'remote_host3'
'remote_port3'
'ServiceDllName'
'm_enable_http'
'HttpAddress'
'szGroup'
'blDelMe'
'SelfDelete'
'Config'
'PassWord'
'Remark'
'Version'
ou 'Config' – est le chemin vers le fichier de configuration (dans Linux)ou bien vers la branche du registre où les données de configuration sont stockées (dans Windows). Ce fichier de configuration inclut trois adresses de serveurs de gestion, mais le Trojan en utilise une seule afin de conserver les autres en réserve. Le fichier de configuration est crypté en Base64. Linux.BackDoor.Dklkt.1 essaie de s'enregistrer sur l'ordinateur attaqué en tant que daemon (service système). En cas d'échec, il s'arrête.
Après son lancement, le logiciel malveillant prépare un paquet avec les données sur le système infecté et les paramètres du backdoor (toutes les lignes utilisent l'encodage unicode) et l'envoie au serveur de gestion :
<ComputerName>|<OSVersion>|<CpuCores> *
<CpuClock>MHz|Total:<MemTotal>MB,Avail:<MemFree>MB|<sysuptime_days>d
<sysuptime_hours>h <sysuptime_minutes>m <sysuptime_seconds>s|
<self_ip>|<external_ip>|<ConnectionTime>
ms|0|<Remark>|<Group>|<Password>|<Version>|0|0|1|\x00
Les paramètres Remark, Group, Password, Version sont empruntés au fichier de configuration, les trois dernières valeurs sont permanentes, les autres représentent les données sur le système infecté. Le trafic de données est compressé par l'algorithme LZO et crypté par l'algorithme Blowfish. Outre le nombre de chiffres nécessaire pour l'identification proprement dite, ce numéro doit contenir une somme de contrôle CRC32 basée sur ces chiffres à des fins de contrôle d'intégrité.
Après l'envoi du paquet, le Trojan passe en mode veille pour attendre des commandes :
| Commande | Комментарий |
|---|---|
| Paquet de bienvenue | Ignoré |
| Effectuer la mise à jour | Ignoré |
| Modifier le groupe | Remplace la valeur du paramètre Groupe dans le fichier de configuration par la valeur reçue dans la commande |
| Modifier Remark | Remplace la valeur du paramètre Groupe dans le fichier de configuration par la valeur reçue dans la commande |
| Démarrer shell | Lance l'interpréteur de commandes et redirige les flux Entrée/Sortie vers le serveur de gestion |
| Ouvrir le gestionnaire du système de fichiers | Ignoré |
| Ouvrir le gestionnaire de DDoS | Ignoré |
| Recevoir les données utilisateur | Ignoré |
| Se supprimer | Ignoré |
| Rompre la communication avec le serveur de gestion | Ignoré |
| Quitter | Exécute la commande system ("exit") |
| Redémarrage | Exécute la commande system ("reboot") |
| Arrêt de l'ordinateur. | Exécute la commande system ("poweroff") |
| Effacer le log des événements | Ignoré |
| Lancer une attaque DDoS | |
| Lancer l'application | L'application est indiquée dans la commande reçue |
| Lancer proxy | Lance sur la machine infectée un SOCKS proxy |
Le Trojan peut lancer des attaques DDoS de types suivants :
- SYN Flood
- HTTP Flood (requêtes POST/GET)
- Drv Flood (pas réalisé)
- ICMP Flood
- TCP Flood
- UDP Flood
