Backdoor.Linux.DOFLOO.AB

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Agrega los procesos siguientes:

• sed -i -e '/exit/d' /etc/rc.local
• sed -i -e '/^\r\n|\r|\n$/d' /etc/rc.local
• sed -i -e '/%s/d' /etc/rc.local
• sed -i -e '2 i%s/%s' /etc/rc.local
• sed -i -e '2 i%s/%s start' /etc/rc.d/rc.local
• sed -i -e '2 i%s/%s start' /etc/init.d/boot.local

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Initiate DDoS attacks:
  • TCP flood
  • Challenge Collapsar (CC) attack
• Stop DDoS attack
• Execute shell commands

Robo de información

Recopila los siguientes datos:

• CPU information
• Memory statistics
• IP address of infected machine
• Reads the following information from /proc:
  • /proc/stat
  • /proc/meminfo
  • /proc/cpuinfo
  • /proc/net/dev
  • /proc/self/exe
  • /proc/self/maps
  • /proc/sys/vm/overcommit_memory
  • /proc/sys/kernel/rtsig-max
  • /proc/sys/kernel/ngroups_max
  • /proc/sys/kernel/osrelease
  • /proc/self/fd/%d/%s
  • /proc/self/fd
  • /proc/net

Otros detalles

Abre los archivos siguientes:

• /etc/host.conf
• /etc/resolv.conf
• /etc/nsswitch.conf
• /etc/suid-debug
• /etc/ld.so.cache