Sample : 21acf32e9e4356a2e815d9082b685db4fab3f14c6a3e259a9970807dd1371ae3

Summary


OS ABI

UNIX - Linux
CPU class

64 bit
Persistence (user)

No
Persistence (root)

No
CPU byte order

2's complement LSB
File type

ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, for GNU/Linux 3.2.0, BuildID[sha1]=480de616292e9eaba561840418a19265fde23252, not stripped
CPU type

AMD x86-64
Entropy

6.25583121627
Syscalls executed (root)

19271
Syscalls executed (user)

20126
ELF type

Executable file

ELF


Class

64 bit
Data encoding

2's complement LSB
Operating system ABI

UNIX - Linux
Object file type

Executable file
ELF version

0.1
Machine

AMD x86-64
Link

static
Entrypoint

0x400a30
Number of segments

6
Number of sections

39
Program header table offset

64
Section header table offset

1045344
Program header table - size of entry

56
Section header table - size of entry

64
Program header table - entries

6
Section header table - entries

39
Section header table - index sections names

38
Stripped

False
Sections stripped

False
Anomalies


Segments
Memory size doubles physical size : PT_TLS at offset 0xd0100


Sections
Uncommon sections : .note.stapsdt
.stapsdt.base
__libc_thread_subfreeres
__libc_freeres_fn
__libc_IO_vtables
__libc_subfreeres
.tbss
.tdata
__libc_freeres_ptrs
.debug_ranges
section without a name
__libc_atexit
__libc_thread_freeres_fn
High entropy : .text - 6.400273


Debug information

True
Comment

GCC: (Ubuntu 7.3.0-27ubuntu1~18.04) 7.3.0

Note

stapsdt : '\xbb\xf2B\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt_mmap_threshold\x008@%rax 8@16+mp_(%rip) -4@52+mp_(%rip)'

stapsdt : '\xc3\xd9H\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00map_start\x00-8@32(%rbp) 8@%rbx'

stapsdt : aCl;Llibcmemory_memalign_retry8@%r13 8@%rbx

stapsdt : '\xd3\xf2B\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt_mmap_max\x00-4@%eax -4@44+mp_(%rip) -4@52+mp_(%rip)'

stapsdt : '\x13\xf1B\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt_arena_test\x008@%rax 8@24+mp_(%rip)'

stapsdt : \Cl;Llibcmemory_malloc_retry8@%rbx

stapsdt : '\xf3\xf2B\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt_perturb\x00-4@%eax -4@perturb_byte(%rip)'

stapsdt : PVCl;Llibcmemory_malloc_retry8@%rbx

stapsdt : @Cl;Llibcmemory_arena_new8@%rdx 8@%rbp

stapsdt : '\x90\x93C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt_mmap_max\x00-4@%ebx -4@44+mp_(%rip) -4@52+mp_(%rip)'

stapsdt : '?\x8fI\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00longjmp_target\x008@%rdi -4@%eax 8@%rdx'

stapsdt : 43Fl;Llibclll_lock_wait_private%rdi

stapsdt : 't\x92C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt\x00-4@%ebp -4@%ebx'

stapsdt : 'f\x93C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt_mxfast\x00-4@%ebx 8@global_max_fast(%rip)'

stapsdt : '@\x93C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt_perturb\x00-4@%ebx -4@perturb_byte(%rip)'

stapsdt : '\xdd\x02C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_arena_reuse_wait\x008@%rdx 8@%rdx 8@%rbx'

stapsdt : '\xf6\xc6H\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00map_failed\x00-8@72(%rsp) 8@%rbp'

stapsdt : '\xaemC\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_heap_less\x008@%r14 8@%r15'

stapsdt : 's\xf2B\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt_trim_threshold\x008@%rax 8@mp_(%rip) -4@52+mp_(%rip)'

stapsdt : '\x8b\x97C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_memalign_retry\x008@%rbp 8@%rbx'

stapsdt : L|Jl;Llibcmemory_mallopt_free_dyn_thresholds8@%rax 8@%rdx

stapsdt : 'j\x80J\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt_free_dyn_thresholds\x008@%rdx 8@%rax'

stapsdt : '\xddiC\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_heap_free\x008@%r14 8@%rax'

stapsdt : 's\xf1B\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_tunable_tcache_unsorted_limit\x008@%rax 8@104+mp_(%rip)'

stapsdt : '\xaf\xc6I\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00map_complete\x00-8@40(%r14) 8@%r15 8@%rbx'

stapsdt : '\xd5\x01C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_arena_reuse\x008@%rdx 8@%rbx'

stapsdt : '\x98\x86C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_memalign_retry\x008@%rbp 8@%rbx'

stapsdt : '\xfc\x07C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_arena_reuse_free_list\x008@%rdx'

stapsdt : '\x8f\xfdB\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_sbrk_less\x008@%rax -8@%rbp'

stapsdt : '\xf8{C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_memalign_retry\x008@%r12 8@%rbx'

stapsdt : l&Cl;Llibcmemory_sbrk_more8@%rax -8@%r12

stapsdt : '\r\xd9I\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00unmap_complete\x00-8@-128(%rbp) 8@%rbx'

stapsdt : '\x03\xf1B\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt_arena_max\x008@%rax 8@32+mp_(%rip)'

stapsdt : '\xf3#C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_heap_more\x008@%r9 8@%rcx'

stapsdt : '\xea\xcaI\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00reloc_complete\x00-8@40(%r14) 8@-64(%rbp) 8@%rbx'

stapsdt : '#\x8fI\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00longjmp\x008@%rdi -4@%esi 8@%rdx'

stapsdt : '\x19\x93C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt_arena_max\x008@%rbx 8@32+mp_(%rip)'

stapsdt : '\xc2\x1cC\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_heap_free\x008@%r10 8@%rax'

stapsdt : '\xb0\x92C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt_trim_threshold\x008@%rbx 8@mp_(%rip) -4@52+mp_(%rip)'

stapsdt : 'W\x85J\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_heap_free\x008@%r11 8@%rax'

stapsdt : &Gl;Llibcsetjmp8@%rdi -4@%esi 8@%rax

stapsdt : wCl;Llibcmemory_realloc_retry8@%rbp 8@%rbx

stapsdt : 'Z\xf6B\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_heap_new\x008@%rbx 8@%rbp'

stapsdt : '\x08\x81C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_memalign_retry\x008@%r13 8@%rbx'

stapsdt : '+\xf1B\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_tunable_tcache_max_bytes\x008@%rax 8@88+mp_(%rip)'

stapsdt : '\xe0\x93C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt_top_pad\x008@%rbx 8@8+mp_(%rip) -4@52+mp_(%rip)'

stapsdt : 'c\xf1B\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_tunable_tcache_count\x008@%rax 8@96+mp_(%rip)'

stapsdt : '\xcf C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_heap_less\x008@%r10 8@%r15'

stapsdt : '1\x93C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt_arena_test\x008@%rbx 8@24+mp_(%rip)'

stapsdt : 'L\xd6I\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00unmap_start\x00-8@%r14 8@%rbx'

stapsdt : '\x82eC\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt_free_dyn_thresholds\x008@%rdx 8@%rax'

stapsdt : 'P\x8aC\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_calloc_retry\x008@%rbp'

stapsdt : '\x83\xc7I\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00reloc_start\x00-8@40(%r14) 8@-64(%rbp)'

stapsdt : ) Cl;Llibcmemory_arena_retry8@%rsi 8@%rdi

stapsdt : '\x93\xf2B\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt_top_pad\x008@%rax 8@8+mp_(%rip) -4@52+mp_(%rip)'

stapsdt : '\xbf\x93C\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_mallopt_mmap_threshold\x008@%rbx 8@16+mp_(%rip) -4@52+mp_(%rip)'

stapsdt : /sCl;Llibcmemory_realloc_retry8@%rbp 8@%rbx

stapsdt : 'P\x89J\x00\x00\x00\x00\x00l;L\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00libc\x00memory_heap_less\x008@%r11 8@%r15'

Hash


MD5

dfae7357791c239583224e363c8f90e7
SHA1

7022087c2a2a4189ea82c5dcb1988c61281cf535
SHA256

21acf32e9e4356a2e815d9082b685db4fab3f14c6a3e259a9970807dd1371ae3
SHA512

4d6760853219b33d3740e5d6376f8ab7b46b20cecea98cfe09b57bcb21fa06c7abef9f96c6bfff8f4179c90b1c1f656d9f14a771fbcdfc71cf2e317b52283dd7
ssdeep

12288:bZXKvOQF3N2oaXE+T5gMtJSwtyClEHTHJE9XqzBWP3e/F11Iw+2:bZXK2CN2pVgMtJX269Xco/eH1I

Bytes


Entropy

6.25583121627
Min entropy (16KB blocks)

2.05179950102
Max entropy (16KB blocks)

6.57515270426
Unique bytes (0-255)

256
Null bytes

226753
White spaces

22215
Printable bytes

317229
First 16B

7f 45 4c 46 02 01 01 03 00 00 00 00 00 00 00 00
Last 16B

01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Longest same bytes sequence

Byte : 0x0

Offset : 0xd3895

Length : 2172

Three rarest bytes

0xb3 - 334 times

0x9b - 330 times

0xa3 - 275 times

Three most common bytes

0x0 - 226753 times

0xff - 48619 times

0x48 - 47708 times

File type


Mime type

application/x-executable
File type

ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, for GNU/Linux 3.2.0, BuildID[sha1]=480de616292e9eaba561840418a19265fde23252, not stripped

VirusTotal


URL

https://www.virustotal.com/#/file/21acf32e9e4356a2e815d9082b685db4fab3f14c6a3e259a9970807dd1371ae3

Data Explore


Paths

/lib/x86H3N

/usr/libH3N

/usr/libH9

/lib/x86I3Q

/usr/libI3Q

/usr/libI9

/proc/$pid/exe

/proc/net/tcp

/dev/full

/dev/null

/usr/share/locale

/usr/share/locale

/usr/share/locale-langpack

/dev/tty

/proc/sys/vm/overcommit_memory

/usr/lib/getconf

/proc/sys/kernel/ngroups_max

/proc/sys/kernel/rtsig-max

/sys/devices/system/cpu/online

/proc/stat

/proc/cpuinfo

/sys/devices/system/cpu

/etc/suid-debug

/var/tmp

/var/profile

/proc/sys/kernel/osrelease

/usr/lib/x86_64-linux-gnu/gconv

/usr/lib/x86_64-linux-gnu/gconv/gconv-modules.cache

/usr/lib/locale

/usr/lib/locale/locale-archive

/proc/self/maps

/lib/x86_64-linux-gnu/

/usr/lib/x86_64-linux-gnu/

/lib/

/usr/lib/

/etc/ld.so.nohwcap

/proc/self/exe

/etc/ld.so.cache

~/rfd

~/,arp

~/,arp

/usr/lib/gcc/x86_64-linux-gnu/7/include

/usr/include/x86_64-linux-gnu/bits

/usr/include

/usr/include/x86_64-linux-gnu/bits/types

/usr/include/x86_64-linux-gnu/sys

/usr/include/netinet

/usr/lib/gcc/x86_64-linux-gnu/7/include

/usr/include/x86_64-linux-gnu/bits

/usr/include

/usr/include/netinet

/usr/include/asm-generic

/usr/include/linux

/usr/lib/gcc/x86_64-linux-gnu/7/include

/usr/include/x86_64-linux-gnu/bits

/usr/include

/usr/include/netinet

/usr/include/asm-generic

/usr/include/linux

/usr/lib/gcc/x86_64-linux-gnu/7/include

/usr/include/x86_64-linux-gnu/bits

/usr/include

/usr/include/x86_64-linux-gnu/bits/types

/usr/include/netinet

/usr/include/asm-generic

/usr/include/linux

/usr/lib/gcc/x86_64-linux-gnu/7/include

/usr/include/x86_64-linux-gnu/bits

/usr/include

/usr/include/netinet

/usr/include/asm-generic

/usr/include/linux

/usr/include/x86_64-linux-gnu/bits

/usr/include/netinet

/usr/include/asm-generic

/usr/include/linux

/usr/include

/usr/lib/gcc/x86_64-linux-gnu/7/include

/usr/lib/gcc/x86_64-linux-gnu/7/include

/usr/include/x86_64-linux-gnu/bits

/usr/include

/usr/include/netinet

/usr/lib/gcc/x86_64-linux-gnu/7/include

/usr/include/x86_64-linux-gnu/bits

/usr/include

/usr/include/x86_64-linux-gnu/bits/types

/usr/include/x86_64-linux-gnu/sys

/usr/include/netinet

/usr/include/asm-generic

/usr/include/linux

/usr/include/x86_64-linux-gnu/bits

/usr/include

/usr/lib/gcc/x86_64-linux-gnu/7/include

/usr/lib/gcc/x86_64-linux-gnu/7/include

/usr/include/x86_64-linux-gnu/bits

/usr/include

/usr/include/x86_64-linux-gnu/bits/types

/usr/include/x86_64-linux-gnu/sys

/usr/include/netinet

/usr/lib/gcc/x86_64-linux-gnu/7/include

/usr/include/x86_64-linux-gnu/bits

/usr/include

/usr/include/x86_64-linux-gnu/bits/types

/usr/include/x86_64-linux-gnu/sys

/usr/include/netinet

/usr/include/asm-generic

/usr/include/linux

/usr/lib/gcc/x86_64-linux-gnu/7/include

/usr/include/x86_64-linux-gnu/bits

/usr/include

/usr/lib/gcc/x86_64-linux-gnu/7/include

/usr/include/x86_64-linux-gnu/bits

/usr/include

/usr/include/netinet

/home/force/Mirai/mirai

URLs

https://bugs.launchpad.net/ubuntu/

Code Explore


Nucleus

Number of functions : 1489

Total size functions [B] : 1564658

Average size a function [B] : 1050.81128274

Percentage of covered .text section : 230.11842291

Percentage of covered LOAD segment : 179.63142825

Eh_frame

Number of functions : 1019

Total size functions [B] : 682753

Average size a function [B] : 670.022571148

Percentage of covered .text section : 100.414303699

Percentage of covered LOAD segment : 78.3838362965

Sandbox (user)


Standard output

listening tun0
Standard error

Sandbox (root)


Standard output

listening tun0
Standard error

Behavior


User behavior

Syscalls


Unique
clock_gettime
rt_sigaction
uname
brk
connect
getsockname
prctl
close
select
access
getdents
nanosleep
arch_prctl
write
getpid
fstat
listen
fcntl
read
openat
clone
sendto
getppid
readlink
execve
setsockopt
socket
bind
time


Unique number
29

Total number
20126

Instrumented libc calls


Unique
strchr


Unique number
1

Total number
1

Permission related errors

True

Type of permission related error


EACCES
True

Number of processes

2

Trace lines lost

0

Files being read

/proc/942/exe

/proc/575/exe

/proc/920/exe

/proc/505/exe

/proc/net/tcp

/proc/939/exe

/proc/591/exe

/proc/489/exe

/lib/systemd/systemd

/bin/dash

/proc/938/exe

/proc/573/exe

/proc/559/exe

/proc/890/exe

/proc/508/exe

/proc/582/exe

/proc/913/exe

/proc/

/proc/892/exe

/proc/895/exe

/usr/lib/systemtap/stapio

/proc/502/exe

/proc/941/exe

/proc/914/exe

/proc/797/exe

Max sleep

5.0

Process renaming

uo32oevov0tipad



Root behavior

Syscalls


Unique
clock_gettime
rt_sigaction
uname
brk
connect
getsockname
prctl
close
select
access
getdents
nanosleep
arch_prctl
write
getpid
openat
fstat
listen
fcntl
read
commit_creds
clone
sendto
getppid
readlink
execve
setsockopt
socket
bind
time


Unique number
30

Total number
19271

Instrumented libc calls


Unique
strchr


Unique number
1

Total number
1

Number of processes

2

Trace lines lost

0

Files being read

/proc/560/exe

/proc/453/exe

/proc/773/exe

/proc/764/exe

/proc/768/exe

/proc/782/exe

/proc/569/exe

/usr/sbin/irqbalance

/proc/net/tcp

/usr/sbin/sshd

/proc/503/exe

/proc/617/exe

/proc/779/exe

/proc/766/exe

/lib/systemd/systemd-logind

/bin/dash

/proc/573/exe

/proc/698/exe

/sbin/agetty

/proc/500/exe

/usr/lib/policykit-1/polkitd

/proc/582/exe

/usr/lib/accountsservice/accounts-daemon

/proc/

/usr/sbin/rsyslogd

/usr/bin/dbus-daemon

/proc/727/exe

/proc/784/exe

/proc/497/exe

/lib/systemd/systemd

/proc/593/exe

/usr/lib/systemtap/stapio

/proc/616/exe

/proc/729/exe

Max sleep

5.0

Process renaming

qml24ubket3daoo