Троянец Linux.DDoS.93 создан вирусописателями для заражения устройств под управлением операционных систем семейства Linux. Предположительно эта вредоносная программа распространяется при помощи набора уязвимостей ShellShock в программе GNU Bash.
При запуске Linux.DDoS.93 пытается изменить содержимое ряда системных папок Linux, чтобы обеспечить собственную автозагрузку. Затем троянец ищет на атакуемом компьютере другие экземпляры Linux.DDoS.93 и, если таковые нашлись, прекращает их работ
Успешно запустившись в инфицированной системе, Linux.DDoS.93 создает два дочерних процесса. Первый обменивается информацией с управляющим сервером, а второй в непрерывном цикле проверяет, работает ли родительский процесс, и в случае остановки перезапускает его. В свою очередь родительский процесс тоже следит за дочерним и перезапускает его при необходимости — так троянец поддерживает свою непрерывную работу на зараженной машине.
Linux.DDoS.93 умеет выполнять следующие команды:
- обновить вредоносную программу;
- скачать и запустить указанный в команде файл;
- самоудалиться;
- начать атаку методом UDP flood на указанный порт;
- начать атаку методом UDP flood на случайный порт;
- начать атаку методом Spoofed UDP flood;
- начать атаку методом TCP flood;
- начать атаку методом TCP flood (в пакеты записываются случайные данные длиной 4096 байт);
- начать атаку методом HTTP flood с использованием GET-запросов;
- начать атаку методом HTTP flood с использованием POST-запросов;
- начать атаку методом HTTP flood с использованием HEAD-запросов;
- отправить на 255 случайных IP-адресов HTTP-запросы с указанными параметрами;
- завершить выполнение;
- отправить команду “ping”.
Когда троянец получает команду начать DDoS-атаку или отправить случайные запросы, он сначала прекращает все дочерние процессы, а затем запускает 25 новых процессов, которые и выполняют атаку указанным злоумышленниками методом.