欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

詳解感染華碩路由器的P2P僵尸網(wǎng)絡(luò)程序

  發(fā)布時(shí)間:2016-10-28 15:01:03   作者:佚名   我要評(píng)論
很多電腦用戶對(duì)于華碩路由器感染僵尸網(wǎng)絡(luò)很迷茫,下面小編主要針對(duì)這個(gè)問(wèn)題為大家講解感染華碩路由器的P2P僵尸網(wǎng)絡(luò)程序TheMoon,希望可以幫助到大家

Register message(注冊(cè)消息)

該消息類型標(biāo)記為0,當(dāng)所有模塊加載完畢,消息將被轉(zhuǎn)發(fā)給其它對(duì)等網(wǎng)絡(luò),包括iptables規(guī)則中的其它網(wǎng)絡(luò):

\

\

\

消息體由兩個(gè)雙字字符串組成,其中0x6d6163f4為特定變量,而00000xx為對(duì)等網(wǎng)絡(luò)值。在轉(zhuǎn)發(fā)完該消息類型之后,bot程序會(huì)自動(dòng)把發(fā)送方添加為自身對(duì)等結(jié)點(diǎn)(peer),以此擴(kuò)大傳播感染面。

RegistertTo message(判斷消息)

該消息類型標(biāo)記也為0,但消息體為12個(gè)字節(jié)。如果第三個(gè)雙字字符不為0,程序?qū)?huì)向特定IP發(fā)送register message消息進(jìn)行注冊(cè)。否則,將會(huì)向發(fā)送方持續(xù)請(qǐng)求register message,保持通信。下圖為bot程序接收到的Register To消息流量包

\

FetchCommand message (控制消息)

該消息類型標(biāo)記為1,消息體結(jié)構(gòu)如下:

Offset Size Description

0 4 Peer IP address

4 4 Command id

8 4 Command size (Maximum 0x19001)

12 n file name(n8)

以下為bot接收到的FetchCommand消息流量包

\

之后,bot程序會(huì)把消息內(nèi)容儲(chǔ)存在Pending Command內(nèi)為后續(xù)DWL模塊使用:

Struct PendingCommand

{

DWORD ip;

DWORD cmd_id;

DWORD cmd_size;

CHAR filename[8];

};

DWL模塊

該模塊創(chuàng)建讀取PendingCommand內(nèi)容的進(jìn)程,之后,程序通過(guò)TCP 4543端口向特定IP發(fā)送請(qǐng)求文件名和命令I(lǐng)D:

\

特定IP返回請(qǐng)求文件,bot儲(chǔ)存響應(yīng)信息并執(zhí)行文件。下圖為請(qǐng)求執(zhí)行過(guò)程的底層實(shí)現(xiàn)代碼:

\

總結(jié)

TheMoon惡意軟件于2014年被SANS發(fā)現(xiàn),主要以路由器為目標(biāo),利用漏洞植入感染。從底層代碼來(lái)看,TheMoon還以華碩(ASUS)和 Linksys路由器為特定目標(biāo)。通過(guò)分析可以看出,TheMoon使用iptables規(guī)則進(jìn)行通信的P2P感染機(jī)制還不太成熟,另外,其不加密的通信可被輕易發(fā)現(xiàn)和分析。

以上就是腳本之家小編為大家講解的感染華碩路由器的P2P僵尸網(wǎng)絡(luò)程序的教程,需要的用戶快來(lái)看看吧,想了解更多精彩教程請(qǐng)繼續(xù)關(guān)注腳本之家網(wǎng)站!

推薦文章:

新型WiFi系統(tǒng) MegaMIMO 2.0三倍速 解決信號(hào)差、上網(wǎng)慢問(wèn)題

教你一招成功破解電信限制路由器,多臺(tái)電腦一起上網(wǎng)速也一樣快

相關(guān)文章

最新評(píng)論