Register message(注冊消息)

該消息類型標記為0，當所有模塊加載完畢，消息將被轉發(fā)給其它對等網絡，包括iptables規(guī)則中的其它網絡：

消息體由兩個雙字字符串組成，其中0x6d6163f4為特定變量，而00000xx為對等網絡值。在轉發(fā)完該消息類型之后，bot程序會自動把發(fā)送方添加為自身對等結點(peer)，以此擴大傳播感染面。

RegistertTo message(判斷消息)

該消息類型標記也為0，但消息體為12個字節(jié)。如果第三個雙字字符不為0，程序將會向特定IP發(fā)送register message消息進行注冊。否則，將會向發(fā)送方持續(xù)請求register message，保持通信。下圖為bot程序接收到的Register To消息流量包

FetchCommand message (控制消息)

該消息類型標記為1，消息體結構如下：

Offset Size Description

0 4 Peer IP address

4 4 Command id

8 4 Command size (Maximum 0x19001)

12 n file name(n8)

以下為bot接收到的FetchCommand消息流量包

之后，bot程序會把消息內容儲存在Pending Command內為后續(xù)DWL模塊使用：

Struct PendingCommand

{

DWORD ip;

DWORD cmd_id;

DWORD cmd_size;

CHAR filename[8];

};

DWL模塊

該模塊創(chuàng)建讀取PendingCommand內容的進程，之后，程序通過TCP 4543端口向特定IP發(fā)送請求文件名和命令ID:

特定IP返回請求文件，bot儲存響應信息并執(zhí)行文件。下圖為請求執(zhí)行過程的底層實現代碼：

總結

TheMoon惡意軟件于2014年被SANS發(fā)現，主要以路由器為目標，利用漏洞植入感染。從底層代碼來看，TheMoon還以華碩(ASUS)和 Linksys路由器為特定目標。通過分析可以看出，TheMoon使用iptables規(guī)則進行通信的P2P感染機制還不太成熟，另外，其不加密的通信可被輕易發(fā)現和分析。

以上就是腳本之家小編為大家講解的感染華碩路由器的P2P僵尸網絡程序的教程，需要的用戶快來看看吧，想了解更多精彩教程請繼續(xù)關注腳本之家網站！

推薦文章：

新型WiFi系統(tǒng) MegaMIMO 2.0三倍速 解決信號差、上網慢問題

教你一招成功破解電信限制路由器，多臺電腦一起上網速也一樣快

最新評論