dstr(设备破坏模块)
时间:2022-03-22 07:18:01 | 来源:行业动态
时间:2022-03-22 07:18:01 来源:行业动态
dstr 模块用于通过删除正常操作所需的文件使受感染设备无法操作。在删除系统中的其他文件前,该模块首先删除与自身操作相关的所有文件和文件夹,可能为了在调查分析期间隐藏自己的存在。
深入分析 x86 版本 dstr 模块后发现,此模块首先从磁盘中将其自身删除,然后停止执行父级第 2 阶段进程,再搜索所有正在运行的进程,查找名为 vpnfilter、security 和 tor 的进程并终止它们。接下来,显式地删除以下文件和目录:
/var/tmp/client_ca.crt
/var/tmp/client.key
/var/tmp/client.crt
/var/run/vpnfilterm/htpx
/var/run/vpnfilter
/var/run/vpn.tmp
/var/run/vpn.pid
/var/run/torrc
/var/run/tord/hidden_ssh/private_key
/var/run/tord/hidden_ssh/hostname
/var/run/tor
/var/run/msvf.pid
/var/run/client_ca.crt
/var/run/client.key
/var/run/client.crt
/var/pckg/mikrotik.o
/var/pckg/.mikrotik.
/var/msvf.pid
/var/client_ca.crt
/var/client.key
/var/client.crt
/tmp/client_ca.crt
/tmp/client.key
/tmp/client.crt
/flash/nova/etc/loader/init.x3
/flash/nova/etc/init/security
/flash/nova/etc/devel-login
/flash/mikrotik.o
/flash/.mikrotik.
/var/run/vpnfilterw/
/var/run/vpnfilterm/
/var/run/tord/hidden_ssh/
/var/run/tord/
/flash/nova/etc/loader/
/flash/nova/etc/init/
dstr 模块通过使用 0xFF 字节覆盖所有可用 /dev/mtdX 设备的字节来清除闪存。最后,执行 shell 命令 rm -rf /* 来删除文件系统的其余文件,并重启设备。此时,设备无任何需操作的文件,且无法启动。
在线咨询
