Группа троянских программ для ОС Linux, предназначенных для осуществления DDoS-атак. Cпособны инфицировать как 32-разрядные (Linux.DnsAmp.1), так и 64-разрядные (Linux.DnsAmp.2) версии Linux.
После запуска троянец автоматически регистрирует себя в параметрах автозагрузки ОС путем модификации файла etc/rc.d/rc.local. Далее троянец создает два потока, каждый из которых выполняет аналогичные действия, но использует разные управляющие сервера.
После установки соединения с управляющим сервером троянец собирает информацию о машине, на которой запущен, в частности:
- Название и версия ОС;
- Объем свободной памяти и Swap-кэша;
- Частота процессора;
- Данные из файла dosset.dtdb, которые записываются в этот файл при получении определенной команды от управляющего сервера.
Все полученные данные отправляются на удаленный управляющий сервер, от которого троянец ожидает получения команды. Если в процессе получения команды возникает ошибка, то троянец собирает дополнительную информацию, которая также отправляется на управляющий сервер.
В зависимости от значения ключа в принятой команде (значения DWORD по нулевому смещению), возможны следующие действия:
| Ключ | Команды |
|---|---|
| 0x99 | Установка флага начала DDoS'а в ноль |
| 0x4DE | Записать данные из команды в файл dosset.dtdb |
| 0x88 | Игнорировать команду |
| Ост. варианты при key < 0x5DD | При флаге начала DDoS'a установленном в ноль, начинает атаку. |
| 0x5DD | Заново начать выполнение функционала с момента определения адреса C&C сервера |
| (key > 0x5DD) && (key != 0xFF1) | |
| && (key != 0x99999) && (key != 0x6AF) | Обновиться. |
| 0xFF1 | Завершение работы. |
По команде с удаленного сервера троянец может осуществлять процедуру обновления. В процессе обновления вызывается команда killall <название модуля>. Затем модуль удаляется и вызывается утилита wget для скачивания обновленного модуля в директорию /home. В случае успешного завершения загрузки файла ему устанавливается атрибут исполняемого (chmod +x). Последним шагом выполняется запуск скачанного файла.
При получении команды на начало DDoS-атаки формат команды имеет следующий вид:
| Смещение | Значение |
|---|---|
| 76 | IP или домен жертвы (C-строка) |
| 48 | Количество потоков для атаки |
| 40 | Тип атаки |
Среди возможностей данного класса троянцев необходимо отметить следующие типы атаки:
- SYN Flood (отправка специально сформированного пакета атакуемому узлу до тех пор, пока он не перестанет отвечать на запросы);
- UDP Flood (устанавливается соединение с атакуемым узлом по протоколу UDP, после чего троянец пытается отправить жертве 1000 сообщений);
- Ping Flood (с использованием протокола ICMP формируется эхо-запрос, в котором в качестве идентификатора используется PID процесса, а данные представляют собой hex-значение 0xA1B0A1B0);
- отправка запросов на серверы DNS (DNS Amplification);
- отправка запросов на серверы NTP (NTP Amplification — в ранних версиях троянца функция реализована, но не используется).
