Ono dohromady ten kód moc zajímavý není. Prostě takový klasický worm. Prakticky všechno si tahá s sebou ve formě TAR archivu. Vyjímkou je jen aplikace curl, kterou stahuje z webu (
http://downloads.openwrt.org/kamikaze/8.09.1/adm5120/packages/curl_7.17.1-1_mips.ipk usr/bin/curl). Ten je až moc velký na to, aby ho dokázal perzistentně uložit, takže si ho znovu a znovu stahuje po každém restartu. Zajímavé je, že se na každém infikovaném stroji (ano routeru
) ukládá seznam potenciálně náchylných nebo infikovaných IP adres, které se pak zpětně kontrolují, zda jsou skutečně správně infikovány. Pokud ne, proběhne infekce znovu. Takže ten, kdo se koukne do /tmp/inf na napadeném stroji, získá seznam všech IP adres, které byly napadeny z tohoto infikovaného zařízení.
Aktuálně je detekce izi. Stačí kouknout, jestli existuje v /etc/passwd account mother, který si tenhle kód vytváří. Dojebat se dá tak, že zakážeš komunikaci mimo vnitřní subnet sítě. Tím pádem nemůže přepsat SSH klíče, ani modifikovat /etc/passwd tak, že do něj přidá svůj 'root' account.
Pokud se na tohle podívám ze všech stran, jedná se jednoznačně o demonstrativní kód. V reálu by s ním bylo možné napáchat daleko více škody. Klasika dnešní doby je párřádkový kód pro DoS útoky, MiTM attack, podvržení obsahu, etc etc etc...
