详解感染华硕路由器的P2P僵尸网络程序
(福利推荐:你还在原价购买阿里云服务器?现在阿里云0.8折限时抢购活动来啦!4核8G企业云服务器仅2998元/3年,立即抢购>>>:9i0i.cn/aliyun)
Register message(注册消息)
该消息类型标记为0,当所有模块加载完毕,消息将被转发给其它对等网络,包括iptables规则中的其它网络:
消息体由两个双字字符串组成,其中0x6d6163f4为特定变量,而00000xx为对等网络值。在转发完该消息类型之后,bot程序会自动把发送方添加为自身对等结点(peer),以此扩大传播感染面。
RegistertTo message(判断消息)
该消息类型标记也为0,但消息体为12个字节。如果第三个双字字符不为0,程序将会向特定IP发送register message消息进行注册。否则,将会向发送方持续请求register message,保持通信。下图为bot程序接收到的Register To消息流量包
FetchCommand message (控制消息)
该消息类型标记为1,消息体结构如下:
Offset Size Description
0 4 Peer IP address
4 4 Command id
8 4 Command size (Maximum 0x19001)
12 n file name(n8)
以下为bot接收到的FetchCommand消息流量包
之后,bot程序会把消息内容储存在Pending Command内为后续DWL模块使用:
Struct PendingCommand
{
DWORD ip;
DWORD cmd_id;
DWORD cmd_size;
CHAR filename[8];
};
DWL模块
该模块创建读取PendingCommand内容的进程,之后,程序通过TCP 4543端口向特定IP发送请求文件名和命令ID:
特定IP返回请求文件,bot储存响应信息并执行文件。下图为请求执行过程的底层实现代码:
总结
TheMoon恶意软件于2014年被SANS发现,主要以路由器为目标,利用漏洞植入感染。从底层代码来看,TheMoon还以华硕(ASUS)和 Linksys路由器为特定目标。通过分析可以看出,TheMoon使用iptables规则进行通信的P2P感染机制还不太成熟,另外,其不加密的通信可被轻易发现和分析。
以上就是程序员之家小编为大家讲解的感染华硕路由器的P2P僵尸网络程序的教程,需要的用户快来看看吧,想了解更多精彩教程请继续关注程序员之家网站!
推荐文章:
新型WiFi系统 MegaMIMO 2.0三倍速 解决信号差、上网慢问题
相关文章
- WIFI为了防止别人蹭网.要经常的修改密码2015-05-12
- 我住的小区可搜索到几个无线网络,信号都很弱,有一个没有密码,但是很少能连上。2015-05-13
电信光纤猫与TP-LINK无线路由器连接设置向导图文详细介绍
首先,由于HG330和TP-Link路由器默认地址都是192.168.1.1,需要将台式机的网线直接连接到TP-Link路由器的LAN接口,然后在浏览器中键入192.168.1.1,输入用户名和密码(默认2013-09-01- 在我们常用的Windows XP操作系统中,系统默认的MTU值为1500,这是一个标准以太网的设置值,并不适合宽带网络2012-11-14
- 很多朋友会把自己的wifi密码给忘记了,今天小编就为大家带来一个简单的方法,既不用进入路由器查看,也不需要下载密码查看器,只需使用windows系统的自带功能即可,下面就2014-12-23
- 今天朋友入手了一款华为无线路由器,找我给帮忙设置下,通过参考下面的图文方法顺利解决,特分享一下,方便需要的朋友2012-10-15
- 本文为大家介绍两种可以用一根网线连接2个或多个路由器的方法,虽然用一根网线连接2个或多个路由器的方法不止两个,但是小编觉得这两种方法是最好用最简单的,一起来看看吧2014-02-15
- 我的电脑密码丢失有的时候重新安装系统就可以,但ADSL拨号密码忘记了还得拿自己的证件到运营商那里去处理,那么宽带连接密码忘记了怎么办?下面小编就为大家介绍查看宽带密2015-02-09
- 我不小心把家里的路由器恢复了出厂设置,然后再连接的时候,发现连接不了网络了。不通过路由器可以直接用宽带连接2012-11-06
最新评论