SHA1:
- f23c4e3dd93bc54ec67dc97023c0b1251a6ca784
Linux-троянец, предназначенный для организации на инфицированном компьютере SOCKS5-прокси сервера, основанного на свободно распространяемых исходных кодах утилиты Satanic Socks Server.
Для распространения троянца злоумышленники авторизуются на уязвимых узлах по протоколу SSH. Списки IP-адресов уязвимых узлов, а также логинов и паролей для авторизации хранятся на сервере злоумышленников. Эти списки имеют вид:
IP-адрес:login:password
Пример такого списка приведен на следующей иллюстрации:
Примечательно, что пользователей с такими учетными данными обычно создают в системе другие Linux-троянцы. С использованием этого списка формируется сценарий, который выполняется на атакуемых устройствах при помощи утилиты sshpass.
Порт для доступа к прокси-серверу сохраняется в теле троянца в процессе его компиляции. Исследованные образцы используют следующие порты:
18902
27891
28910
33922
37912
39012
48944
49082
49098
56494
61092
61301
