demon病毒样本分析

1. 简介

该样本是前几周爆发的THINKPHP漏洞中，被批量上传的一个病毒样本。如图所示。

2. 分析

该样本未经混淆，加壳，所以直接拖到IDA中即可分析。
首先从main函数开始。做一些初始化的函数，然后fork进程，父进程退出，子进程继续执行，推测是为了更好的迷惑。
如图

然后设置sid，更改病毒运行目录为根目录，设置信号。主要是忽略SIGPIPE信号，防止进程出错。参考 https://blog.csdn.net/qq_34888036/article/details/81014529

随后调用initConnection函数去尝试连接服务器。如果连接成功的话，继续往下执行代码，如果不成功的话，则进程sleep 5秒，然后继续。如图

在initConnection中，mainCommSock是已经建立成功的socket描述符，因为这个函数在运行期间可能会调用多次，所以如果已经成功建立好socket连接的话，则直接返回就行，否则尝试重新连接一次远控服务器。该函数主要作用是尝试168.235.82.199:69建立tcp连接。并检测是否可以连接。socket宏定义这块，参考https://blog.csdn.net/liuxingen/article/details/44995467

回到main函数中，然后开始获取诸如linux发行版名称，系统位数等信息，发送给远控服务器。如图

getOS和getPortz函数都比较简单，读取相应的文件，然后判断一下文件内容。如图

然后跳转到loc_40392E处，接收服务器的指令。如果接收成功，没有出错，则跳转到loc_4034E8去处理指令。否则跳转回initConnection重新执行一遍。

loc_403618处，首先调用listfork，fork一遍子进程用于处理请求，然后将结果trim一下。判断一下受不是以0x21开头，如果不是的话，则继续从远控服务器接收指令。如果是的话，则开始处理消息体

随后各种乱七八糟的跳转，跳转到processcmd中。这个函数主要用来解析远控服务器发来的指令。处理完指令后，继续等待服务器的指令，然后重新执行一遍上面的流程。

将服务器的结果解析成命令和参数，随后调用processcmd去处理。

processcmd比较长，这里阉割了很多功能，具体可以看下面的附录。该样本中只有tcp dos， udp dos，astd。tcp dos根据解析出来的参数，想起发出dos攻击。如图

udp dos攻击的代码

最奇怪的是astd攻击，根据ip和port，建立udp 连接，向其发送一段hex编码的数据，很奇怪。如图

3. 清除

很容易清除，杀掉进程就行，没有篡改系统文件。这个应该是专门针对于嵌入式设备的病毒，为了兼容性考虑。所以没有大量的混淆和加壳。

4. 相关

样本地址 http://168.235.82.199/GaXZMIng 目前已经被删除
相关样本代码，对的，这个也是基于一套开源的QBOT改出来的
https://github.com/CanadianJeff/QBOT-ART-OF-WAR/blob/master/client.c
https://pastebin.com/aV9Uw4jD