0 4 Peer IP address
4 4 Command id
8 4 Command size (Maximum 0x19001)
12 n file name(n8)
以下為bot接收到的FetchCommand消息流量包
之後,bot程序會把消息內容儲存在Pending Command內為後續DWL模塊使用:
Struct PendingCommand
{
DWORD ip;
DWORD cmd_id;
DWORD cmd_size;
CHAR filename[8];
};
DWL模塊
該模塊創建讀取PendingCommand內容的進程,之後,程序通過TCP 4543端口向特定IP發送請求文件名和命令ID:
特定IP返回請求文件,bot儲存響應信息並執行文件。下圖為請求執行過程的底層實現代碼:
總結
TheMoon惡意軟件於2014年被SANS發現,主要以路由器為目標,利用漏洞植入感染。從底層代碼來看,TheMoon還以華碩(ASUS)和 Linksys路由器為特定目標。通過分析可以看出,TheMoon使用iptables規則進行通信的P2P感染機制還不太成熟,另外,其不加密的通信可被輕易發現和分析。
閱讀更多 比特網 的文章