D
D
o
S
⽊
⻢
¨NBSP;
-
T
s
u
n
a
m
i
家
族
样
本
分
析
⼀
、
样
本
概
述
样
本
运
⾏
平
台
为
l
i
nux
系
统
,
作
为
僵
⼫
⽹
络
节
点
进
⾏
D
D
o
S
攻
击
。
连
接
IRC
服
务
器
,
通
过
互
联
⽹
中
继
聊
天
接
收
指
令
,
能
够
完
成
聊
天
服
务
器
相
关
的
聊
天
室
配
置
、
身
份
配
置
、
状
态
反
馈
等
聊
天
功
能
,
通
过
解
析
消
息
获
取
攻
击
类
型
与
攻
击
⽬
标
,
完
成
D
D
o
S
攻
击
。
⼆
、
样
本
类
型
样
本
属
于
T
sun
a
m
i
家
族
,
D
D
o
S
攻
击
程
序
,
活
跃
时
间
为
2013
年
⾄
今
。
该
家
族
使
⽤
的
攻
击
⼿
段
包
括
T
C
P
、
U
D
P
、
DNS
泛
洪
攻
击
。
⽬
前
发
现
样
本
相
关
的
源
码
已
经
公
开
在
⽹
络
,
适
合
分
析
者
研
究
学
习
h
t
t
p
s
://
g
i
t
h
u
b
.
c
o
m
/
S
o
ldie
/
COLE
-
O
-
b
o
t
n
e
t
s
/
b
l
o
b
/
aec
534
acbf
9
7
8
9
4
5
1
f
009129
e
f
a
a
1
e
c
7
6
0
9
7
3
e
2
e
/
V
i
rus
P
ack
/
f
3
4
c
5
c
2
7
b
.
c
三
、
详
细
分
析
3
.
1
E
L
F
⽂
件
头
h
a
i
d
r
a
g
o
n
2
0
2
2
-
1
1
-
0
6
14:
48
发
表
于
湖
南
原
创
安
全
狗
的
⾃
我
修
养
⽂
件
头
信
息
3
.
2
僵
⼫
⽹
络
样
本
作
为
“
僵
⼫
⽹
络
”
中
的
“
⾁
鸡
”
,
执
⾏
逻
辑
如
下
。
A
、
根
据
T
i
m
e
、
PPID
⽣
成
客
户
端
标
识
I
D
。
B
、
连
接
IRC
服
务
器
加
⼊
聊
天
频
道
C
、
接
收
聊
天
消
息
,
检
查
消
息
,
执
⾏
指
令
。
服
务
器
地
址
、
端
⼝
通
过
解
析
通
讯
流
量
,
其
通
讯
数
据
各
字
段
含
义
⻅
下
图
:
通
讯
流
量
聊
天
协
议
包
含
的
指
令
,
以
及
对
应
的
聊
天
室
功
能
⻅
下
表
:
指
令
功
能
352
设
置
⼀
个
假
i
p
3
7
6
加
⼊
特
定
频
道
,
查
找
匹
配
的
m
a
c
地
址
433
⽤
“
/
u
s
r
/
dic
t
/
w
o
r
d
s
”
⽬
录
下
的
⽂
件
内
容
做
别
名
422
同
3
6
7
,
加
⼊
特
定
频
道
PRI
V
M
S
G
接
收
i
r
c
命
令
,
访
问
/
usr
/
b
i
n
/
x
x
h
的
⽬
录
下
有
没
有
SSH
相
关
进
程
,
如
果
有
的
话
就
关
掉
;
从
这
⾥
⾯
进
⼊
d
d
o
s
僵
⼫
⽹
络
攻
击
P
I
N
G
发
送
P
O
N
G
指
令
,
⽤
户
的
登
陆
与
结
束
J
O
I
N
加
⼊
频
道
K
I
C
K
加
⼊
服
务
器
对
应
的
频
道
N
I
C
K
取
别
名
聊
天
协
议
3
.
3
DD
o
S
攻
击
样
本
提
供
了
四
种
攻
击
⽅
式
,
攻
击
对
应
与
指
令
⻅
下
表
。
指
令
功
能
T
s
u
n
a
m
i
A
C
K
F
L
O
O
D
攻
击
P
a
n
S
Y
N
F
L
O
O
D
攻
击
D
o
s
U
D
P
F
L
O
O
D
攻
击
U
n
k
n
o
w
n
垃
圾
数
据
包
除
发
送
垃
圾
数
据
包
外
,
其
余
攻
击
⽅
式
均
伪
造
假
的
数
据
封
包
,
欺
骗
⽬
标
系
统
调
⽤
资
源
处
理
数
据
包
。
详
细
分
析
⻅
下
⽂
逆
向
细
节
。
指
令
描
述
S
P
O
O
F
S
设
定
I
P
范
围
D
I
S
A
B
L
E
判
断
密
码
是
否
输
⼊
正
确
E
N
A
B
L
E
恢
复
客
户
端
的
能
⼒
GET
u
r
l
拼
接
,
获
取
c
p
u
架
构
,
该
程
序
只
在
i
686
和
x
8
6
系
统
上
运
⾏
,
设
置
可
接
收
的
⽂
件
格
式
,
接
收
上
线
地
址
发
来
的
数
据
,
从
8
0
端
⼝
联
⽹
接
受
浏
览
器
的
请
求
下
载
指
定
⽊
⻢
⽂
件
V
E
R
S
I
O
N
返
回
后
⻔
版
本
B
Y
E
B
Y
E
A
L
L
关
闭
对
客
户
端
的
d
d
o
s
攻
击
I
R
C
将
指
定
的
i
r
c
指
令
发
送
到
服
务
器
C
H
G
S
E
R
V
更
改
服
务
器
H
e
l
p
显
示
可
⽤
指
令
列
表
N
I
C
K
取
别
名
G
E
T
S
P
O
O
F
S
获
取
欺
骗
参
数
E
N
A
B
L
E
判
断
密
码
是
否
输
⼊
正
确
D
D
o
S
攻
击
的
相
关
设
定
指
令
3
.
4
.
溯
源
分
析
3
.
4
.
1
CC
检
索
公
开
情
报
显
示
:
该
样
本
连
接
的
IRC
服
务
器地址
关
联
到
恶
意
软
件
、
远
控
、
挖
矿
⽊
⻢
、
T
s
u
n
a
m
i
泛
洪
等
标
签
。
C
C
情
报
3
.
4
.
2
哈
希
检
索
在
线
恶
意
软
件
扫
描
⽹
站
V
i
rus
T
o
t
a
l
提
供
的
各
⼤
杀
毒
引
擎
扫
描
结
果
显
示
:
有
1
5
家
杀
软
引
擎
反
馈
为
恶
意
程
序
。
h
a
s
h
扫
描
结
果
s
3
.
5
逆
向
细
节
3
.
5
.
1
m
u
m
a
基
本
信
息
ELF
⽂
件
基
本
信
息
脱
壳
后
E
L
F
⽂
件
信
息
3
.
5
.
2
连
接
前
的
准
备
⼯
作
打
开
并
锁
定
⽂
件
/
t
e
m
p
/
.
s
s
h
,
该
⽂
件
样本未
提
供
。
锁
定
使
⼦
进
程
可
以
访
问
该
⽂
件
资
源
。
当
前
进
程
为
⼦
进
程
,
则
创
建
复
制
⼀
个
⾃
身
的
⼦
进
程
。
创
建
⼦
进
程
将
时
间
与
进
程
i
d
组
合
,
创
建
随
机
字
符
串
,
赋
值
⽣
成
随
机
的
⽤
户
信
息
。
⽣
成
随
机
⽤
户
信
息
3
.
5
.
3
服
务
端
通
讯
建
⽴
循
环
:
连
接
聊
天
服
务
器
,
发
送
上
线
消
息
。
样
本
预
设
了
2
个
服
务
端
地
址
和
7
个
端
⼝
号
,
每
次
连
接
随
机
选
取
地
址
和
端
⼝
,
⻅
下
图
。
⼦
循
环
:
检
查
每
次
连
接
的
时
间间隔
,
设
置
随
机
端
⼝
,
连
接
服
务
端
。
监
听
s
o
c
k
e
t
:
监
听
到
s
o
c
k
e
t
返
回
数
据
,
接
收
b
u
f
f
e
r
,
逐
⾏
读
取
指
令
,
指
令
⽐
对
函
数
名
称
,
调
⽤
对
应
函
数
:
3
.
5
.
4
聊
天
协
议
函
数
函
数
引
⽤
位
置
函
数
名
称
与
地
址
数
组
⻅
下
图
:
指
令
与
对
应
函
数
地
址
3
.
5
.
4
.
1
函
数
3
5
2
实
现
操
作
:
⽣
成
⼀
个
被
打
乱
i
p
地
址
校
验
n
i
c
k
获
取
i
p
地
址
I
P
地
址
转
换
失
败
,
解
析
主
机
失
败
,
返
回
i
p
转
换
整
型
成
功
或
者
解
析
成
功
,
则
打
乱
i
p
并
保
存
3
.
5
.
4
.
1
函
数
3
7
6
、
422
实
现
操
作
:
发
送
上
线
消
息
。
发
送
消
息
3
.
5
.
4
.
3
函
数
433
实
现
操
作
:
⽣
成
昵
称
重
新
⽣
成
n
ick
3
.
5
.
4
.
4
函
数
P
R
I
V
MSG
解
析
传
⼊
的
服
务
端
回
复
数
据
r
e
pons
e
,
得
到
需
要
执
⾏
指
令
名
称
,
去
⽐
对
功
能
函
数
表
并
执
⾏
。
指
令
与
功
能
函
数
上
图
中
,
包
含
有
四
个
DDOS
攻
击
指
令
:
T
sun
a
m
i
,
P
a
n
,
D
o
s
,
U
n
K
n
o
w
n
。
以
及
远
控
相
关
指
令
。
下
⾯
主
要
分
析
D
D
O
S
攻
击
功
能
。
3
.
5
.
5
D
D
O
S
攻
击
功
能
3
.
5
.
5
.
1
A
C
K
-
P
U
S
H
泛
洪
攻
击
攻
击
流
程
:
以
⾮
常
⾼
的
速
率
发
送
假
的
的
A
C
K
-
P
U
S
H
数
据
包
,
该
包
不
属
于
被
攻
击
⽬
标
防
⽕
墙
上
的
现
有
会
话
或
者
路
径
上
的
设
备
,
在
状
态
表
中
⽣
成
不
必
要
的
查
找
,
消
耗
额
外
的
系
统
资
源
。
设
置
攻
击
⽬
标
与
时
⻓
构
造
并
循
环
发
送
T
C
P
-
ack
包
3
.
5
.
5
.
2
S
Y
N
泛
洪
攻
击
S
Y
N
泛
洪
攻
击
利
⽤
T
C
P
的
三
次
握
⼿
过
程
,
⽤
S
Y
N
淹
没
⽬
标
系
统
上
的
多
个
T
C
P
端
⼝
,
请
求
在
源
系
统
和
⽬
标
系
统
之
间
启
动
连
接
的
消
息
。
被
攻
击
⽬
标
系
统
对
接
收
到
的
每
个
S
Y
N
消
息
⽤
S
Y
N
-
A
C
K
消
息
进
⾏
响
应
,
并
临
时
打
开
⼀
个
端
等
待
来
⾃
源
的
最
终
A
C
K
消
息
以
响
应
每
个
S
Y
N
-
A
C
K
消
息
。
攻
击
者
从
未
发
送
最
终
的
A
C
K
,
因
此
连
接
⽆
法
完
成
。
临
时
连
接
最
终
将
超
时
并
被
关
闭
,
但
在
此
之
前
,
⽬
标
系
统
将
会
被
其
状
态
表
中
积
累
的
⼤
量
不
完
整
连
接
淹
没
。
构
建
s
y
n
包
构
建
s
y
n
包
,
循
环
发
送
3
.
5
.
5
.
3
U
D
P
碎
⽚
攻
击
U
D
P
碎
⽚
攻
击
,
发
送
较
⼤
的
U
D
P
数
据
包
(
1500
字
节
)
,
消
耗
更
多
的
⽹
络
带
宽
。
由
于
碎
⽚
包
通
常
⽆
法
重
新
组
装
,
因
此
它
们
消
耗
了
设
备
上
的
⼤
量
资
源
。
构
造
u
d
p
包
发
送
3
.
5
.
5
.
3
碎
⽚
数
据
攻
击
攻
击
流
程
:
⾼
频
率
发
送
较
⼤
的
碎
⽚
数
据
(
0
x
2
4
0
0
)
⾄
⽬
标
服
务
器
的
随
机
端
⼝
,
该
攻
击
⽅
式
效
率
⽐
较
低
。
发
送
碎
⽚
数
据
四
、
样
本
特
征
4
.
1
I
O
C
F
i
l
e
M
D
5
c
f
6
c
b
2
5
6
2
4
8
7
4
4
2
4
a
f
47
011
a
7
d
d
131
b
4
F
i
l
e
S
H
A
1
1
d
0
d
2
d
e
612
c
4
7
3
f
c
4
c
7
5
e
d
5
d
61952
f
8
e
4
a
d
7
3
8
4
c
F
i
l
e
S
H
A
2
5
6
6
f
1
4
afb
1
4
e
198
f
c
3
6
f
f
839
b
0
9
0
7
7
edb
2
f
b
5
a
5
5
d
c
9
c
2
9
c
9
edcd
590
7
5
d
4825
5332
H
o
s
t
p
w
n
.
p
w
n
d
n
s
.
p
w
i
p
1
6
8
.
2
3
5
.
9
5
.
1
0
4
4
.
2
Y
a
r
a
- rule muma_unpack {
- meta:
- description = "Tsunami:RAT&DDOS_BOT"
- muma_unpack_hash1 = "4410b1cd507926071378c0c470fa98aff12ed4b59ec00766fef8847c72397c26"
- muma_hash1 = "6f14afb14e198fc36ff839b09077edb2fb5a55dc9c29c9edcd59075d48255332"
- strings:
- $x1 = "NOTICE %s :PAN = An advanced syn flooder that will kill most network drivers" fullword ascii
- $x2 = "NOTICE %s :SH = Executes a command" fullword ascii
- $x3 = "NOTICE %s :GET = Downloads a file off the web and saves it onto the hd" fullword ascii
- $x4 = "NOTICE %s :UDP = A udp flooder" fullword ascii
- $x5 = "NOTICE %s :UNKNOWN = Another non-spoof udp flooder" fullword ascii
- $s6 = "NOTICE %s :TSUNAMI = Special packeter that wont be blocked by most firewalls" fullword ascii
- $s7 = "NOTICE %s :PAN " fullword ascii
- $s8 = "NOTICE %s :UDP " fullword ascii
- $s9 = "User-Agent: Mozilla/4.75 [en] (X11; U; Linux 2.2.16-3 i686)" fullword ascii
- $s10 = "src/process/execve.c" fullword ascii
- $s11 = "NOTICE %s :UNKNOWN" fullword ascii
- $s12 = "NOTICE %s :TSUNAMI" fullword ascii
- $s13 = "NOTICE %s :IRC = Sends this command to the server" fullword ascii
- $s14 = "src/process/posix_spawn_file_actions_adddup2.c" fullword ascii
- $s15 = "src/process/posix_spawn_file_actions_destroy.c" fullword ascii
- $s16 = "src/process/posix_spawn_file_actions_init.c" fullword ascii
- $s17 = "NOTICE %s :Spoofs: %d.%d.%d.%d - %d.%d.%d.%d" fullword ascii
- $s18 = "NOTICE %s :Password too long! > 254" fullword ascii
- $s19 = "NOTICE %s :Password correct." fullword ascii
- $s20 = "src/process/posix_spawn.c" fullword ascii
- $y1 = "gent.Mozilla/4.75" fullword ascii
- $y2 = "PROT_EXEC|PROT_WRITE failed." fullword ascii
- $y3 = "Id: UPX 3.95 Copyright (C) 1996-2018 the UPX Team. All Rights Reserved. $" fullword ascii
- $y4 = "NOTICE %s :Unable to comply." fullword ascii
- $y5 = "Q USERID" fullword ascii
- $y6 = "ooo.User" fullword ascii
- $y7 = "KILL " fullword ascii
- $y8 = "no- wi&-FbZ" fullword ascii
- $y9 = "" fullword ascii
- $y10 = ",7V{ -" fullword ascii
- $y11 = "? -[Bo&" fullword ascii
- $y12 = "O9/JHTTP/1.0" fullword ascii
- $y13 = "liheek" fullword ascii
- $y14 = "assifyl" fullword ascii
- $y15 = "DEH_FRAME_" fullword ascii
- $y16 = "%HTF%3" fullword ascii
- $y17 = "toupbr" fullword ascii
- $y18 = "%DKz%H" fullword ascii
- $y19 = "uvbful" fullword ascii
- $y20 = "1-2%S " fullword ascii
-
- condition:
- ( uint16(0) == 0x457f and filesize < 2000KB and ( 1 of (x*) and 4 of (s*) ) ) or
- ( uint16(0) == 0x457f and filesize < 600KB and ( 8 of (y*) ) ) or
- ( all of them )
- }
