一、起因
上周五晚上，前同事丢给我一个样本，让我帮他分析一下，周未有事也没时间看，只是把样本丢到VT上扫了扫，报XorDDos.2，本来是14年就呈现的XorDDos样本的变种，晚上没玩LOL，把样本详细分析一下，写了这篇呈报，欢迎学习交流，趁便赚点奶粉钱，呵呵。
二、样本简介
XorDDos类型样本主要特点，用暴力猜解方针机器ssh弱暗码的方法，入侵方针机器，然后执行相应的shell脚本，安置病毒到方针机器，将方针机器变为DDos肉鸡，然后病毒操作多线程倡议DDOS打击。
被安置的病毒会通过fork结束失父进程，删除自身，并拷贝自身到各个系统目录下执行创建多个守护进程，样本在拷贝的过程中运用了简单的“多态”措置惩罚惩罚方法，随机生成相应的文件名，随机md5调动等。拷贝完成之后加载自启动处事，按照获取到操系统内核版本信息安置rootkit,p实现隐藏网络端口，文件等，最后通过多种方法倡议DDos打击。
三、详细分析
首先检察文件类型，如下：

从图中我们可以得知，文件是linux32位可执行措施，通过ida反编译措施，main函数如下：

病毒首先设置相应环境变量，从上面的代码中我们可以看到里面有一个dec_conf函娄，用于解密字符串，得到相应的文件路径，下载地点等信息，解密函数如下：

检察ida里的xorkeys，我们得到了它的加解密key为：BB2FA36AAA9541F0，我们来用edb动态调试一下看看，打开edb加载样本，跟踪到main函数，如图所示：

然后单步调试，解密相应的字符串，得到如下图所示的路径信息：

将main函数中前面的字符串一个一个解密完成之后，得到如下的解密字符串列表：
v27 = /usr/bin
v26 = /bin/
v25 = /tmp/
v23 =/var/run/gcc.pid
v22 =/lib/libudev.so
v21 = /lib/
v20 =
v24 = /var/run/
通过edb动态调试，我们将下面的一些字符串全部解密完成，如图所示：