新型ibus蠕虫，利用漏洞疯狂挖矿牟利(5)

scanme：扫描目录
getrelfromblog、getrelfromblog1、srel：备用c&c
crntabvalidator：修改crontabs属性，后面会循环执行，防止定时任务被删除
UUID Management ：为每个肉鸡生成uuid
MAIN Function：cc模块主函数
C&C模块的功能：
MAIN Function通过Knock_Knock获取c&c指令，实现如下功能
Command Execution :命令执行（实际并未实现执行功能)
Download Execute:下载文件执行
Download Execute W Params：下载文件带参数执行
Uninstall：卸载自身
killcycle：终止运行
Update Me：更新
C&C服务器是speakupomaha.com：

下图为控制主机执行GetCommand的部分代码：

四、影响范围
由配置文件可知，ibus蠕虫对应的钱包地址为4An3Radh69LgcTHJf1U3awa9ffej4b6DcUmEv8wirsDm8zRMSjifrwybH2AzHdEsW8eew3rFtk4QbGJMxqitfxmZJhABxpT。其影响范围从攻击者收益和挖矿规模的角度来看，由于该钱包地址在http://minexmr.com/#worker_stats对应的挖矿速率(HashRate)约为167KH/s，据此粗略估计，全网约有1万台的主机被这种蠕虫感染，黑客因此每天能牟利30.86美元（925.74美元 每月）。