Server sensitive info's grabbed | China DDoSer

1. ;; Server's sensitive information taken...
2. ;; #MalwareMustDie - @unixfreaxjp /malware/Iptablex]$ date
3. ;; Mon Jun 16 14:08:27 JST 2014
4. ;;
5. .text:0804D760 sendLoginInfoa
6. .text:0804D760 var_1A8         = dword ptr -1A8h
7. .text:0804D760 var_1A4         = dword ptr -1A4h
8. .text:0804D760 var_1A0         = dword ptr -1A0h
9. .text:0804D760 var_19C         = dword ptr -19Ch
10. .text:0804D760 var_198         = dword ptr -198h
11. .text:0804D760 var_18A         = dword ptr -18Ah
12. .text:0804D760 var_108         = dword ptr -108h
13. .text:0804D760 var_86          = dword ptr -86h
14. .text:0804D760 arg_0           = dword ptr  8
15. .text:0804D760
16. .text:0804D760                 push    ebp
17. .text:0804D761                 mov     ebp, esp
18. .text:0804D763                 push    ebx
19. .text:0804D764                 sub     esp, 1A4h       ; utsbuf
20. .text:0804D76A                 mov     eax, dword ptr ds:g_mainsrvinfo+124h
21. .text:0804D76F                 movzx   ebx, word ptr [eax+2]
22. .text:0804D773                 mov     [esp+1A8h+var_1A0], 9Ch
23. .text:0804D77B                 mov     [esp+1A8h+var_1A4], 0
24. .text:0804D783                 mov     [esp+1A8h+var_1A8], 81334DCh
25. .text:0804D78A                 call    memset
26. .text:0804D78F                 lea     eax, [ebp+var_18A]
27. .text:0804D795                 mov     [esp+1A8h+var_1A8], eax
28. .text:0804D798                 call    uname
29. .text:0804D79D                 test    eax, eax
30. .text:0804D79F                 js      short loc_804D7CF
31. .text:0804D7A1                 lea     eax, [ebp+var_108]
32. .text:0804D7A7                 mov     [esp+1A8h+var_198], 81334F0h
33. .text:0804D7AF                 mov     [esp+1A8h+var_19C], 81334ECh
34. .text:0804D7B7                 mov     [esp+1A8h+var_1A0], 81334E8h
35. .text:0804D7BF                 mov     [esp+1A8h+var_1A4], offset aD_D_D ; "%d.%d.%d"
36. .text:0804D7C7                 mov     [esp+1A8h+var_1A8], eax
37. .text:0804D7CA                 call    sscanf
38. .text:0804D7CF
39. .text:0804D7CF loc_804D7CF:
40. .text:0804D7CF                 mov     eax, [ebp+arg_0]
41. .text:0804D7D2                 shl     ebx, 10h
42. .text:0804D7D5                 mov     [esp+1A8h+var_1A4], 6Eh
43. .text:0804D7DD                 mov     [esp+1A8h+var_1A8], 81334F8h
44. .text:0804D7E4                 mov     dword ptr ds:g_mainsrvinfo+144h, eax
45. .text:0804D7E9                 call    getcpuinfcmd
46. .text:0804D7EE                 call    getmeminfcmd
47. .text:0804D7F3                 mov     [esp+1A8h+var_1A4], (offset aLp64_off64+8)
48. .text:0804D7FB                 mov     dword ptr ds:g_mainsrvinfo+154h, eax
49. .text:0804D800                 mov     eax, dword ptr ds:g_mainsrvinfo
50. .text:0804D805                 mov     dword ptr ds:g_mainsrvinfo+140h, eax
51. .text:0804D80A                 mov     eax, ebx
52. .text:0804D80C                 or      eax, 1
53. .text:0804D80F                 mov     dword ptr ds:g_mainsrvinfo+13Ch, eax
54. .text:0804D814                 lea     eax, [ebp+var_86]
55. .text:0804D81A                 mov     [esp+1A8h+var_1A8], eax
56. .text:0804D81D                 call    strstr
57. .text:0804D822                 test    eax, eax
58. .text:0804D824                 jz      short loc_804D82F
59. .text:0804D826                 or      ebx, 3
60. .text:0804D829                 mov     dword ptr ds:g_mainsrvinfo+13Ch, ebx
61. .text:0804D82F
62. .text:0804D82F loc_804D82F:
63. .text:0804D82F                 mov     dword ptr ds:g_mainsrvinfo+20h, 1
64. .text:0804D839                 add     esp, 1A4h
65. .text:0804D83F                 xor     eax, eax
66. .text:0804D841                 pop     ebx
67. .text:0804D842                 pop     ebp
68. .text:0804D843                 retn
69. .text:0804D843 sendLoginInfoa  endp