cNotes 検索 一覧 カテゴリ

追記:Remote File include攻撃の増加

Published: 2007/11/28

85.114.128.21/barbut(現在取得不可)このファイルはバイナリファイルでした。簡易調査を行った結果、このファイルはボットに感染する為のファイルでした。またこのボットはudpfloodやsynfloodを行う機能を備えており、ボットに感染した後に、ハーダの命令によって DDOSを行う可能性が考えられます。

ということで検体を分析してみた。

検体のコード概要グラフ。

Stringsの結果。

典型的なLinuxプラットフォーム用ボットKaitenのようだ。ハーダからの命令を解釈して、特定のホストに対してDDoSを実行する機能のみが実装されているようである。

[カテゴリ:検体分析日記]

by Klauser the 3rd