Network Interface grabbed | China DDoSer

1. ;; How the network interface data grabbed | #MalwareMustDie - @unixfreaxjp /malware/Iptablex]$ date
2. ;; Mon Jun 16 14:08:28 JST 2014
3.  
4. .text:0804EAB0 public getethinfo
5. .text:0804EAB0 getethinfo      proc near
6. .text:0804EAB0
7. .text:0804EAB0 var_248         = dword ptr -248h
8. .text:0804EAB0 var_244         = dword ptr -244h
9. .text:0804EAB0 var_240         = dword ptr -240h
10. .text:0804EAB0 var_238         = dword ptr -238h
11. .text:0804EAB0 var_234         = dword ptr -234h
12. .text:0804EAB0 var_22E         = word ptr -22Eh
13. .text:0804EAB0 var_220         = dword ptr -220h
14. .text:0804EAB0 var_20          = dword ptr -20h
15. .text:0804EAB0 var_1C          = dword ptr -1Ch
16. .text:0804EAB0 var_18          = dword ptr -18h
17. .text:0804EAB0 var_14          = dword ptr -14h
18. .text:0804EAB0 var_10          = dword ptr -10h
19. .text:0804EAB0 arg_0           = dword ptr  8
20. .text:0804EAB0
21. .text:0804EAB0                 push    ebp
22. .text:0804EAB1                 mov     ebp, esp
23. .text:0804EAB3                 push    edi
24. .text:0804EAB4                 push    esi
25. .text:0804EAB5                 push    ebx
26. .text:0804EAB6                 sub     esp, 23Ch
27. .text:0804EABC                 mov     [esp+248h+var_244], 80B3847h
28. .text:0804EAC4                 mov     [esp+248h+var_248], offset aProcNetDev
29.                                            ; this offse contains "/proc/net/dev"
30. .text:0804EACB                 call    fopen
31. .text:0804EAD0                 mov     [ebp+var_234], eax
32. .text:0804EAD6                 mov     esi, [ebp+var_234]
33. .text:0804EADC                 xor     eax, eax
34. .text:0804EADE                 test    esi, esi
35. .text:0804EAE0                 jz      loc_804ECA7
36. .text:0804EAE6                 mov     eax, [ebp+var_234]
37. .text:0804EAEC                 lea     edx, [ebp+var_220]
38. .text:0804EAF2                 mov     [esp+248h+var_248], edx
39. .text:0804EAF5                 mov     [esp+248h+var_244], 200h
40. .text:0804EAFD                 mov     [esp+248h+var_240], eax
41. .text:0804EB01                 call    fgets
42. .text:0804EB06                 lea     eax, [ebp+var_220]
43. .text:0804EB0C                 mov     [esp+248h+var_240], 200h
44. .text:0804EB14                 mov     [esp+248h+var_244], 0
45. .text:0804EB1C                 mov     [esp+248h+var_248], eax
46. .text:0804EB1F                 call    memset
47. .text:0804EB24                 mov     [ebp+var_22E], 0
48. .text:0804EB2D                 lea     esi, [esi+0]
49. .text:0804EB30
50. .text:0804EB30 loc_804EB30:                    
51. .text:0804EB30                 mov     eax, [ebp+var_234]
52. .text:0804EB36                 lea     edx, [ebp+var_220]
53. .text:0804EB3C                 mov     [esp+248h+var_244], 200h
54. .text:0804EB44                 mov     [esp+248h+var_248], edx
55. .text:0804EB47                 mov     [esp+248h+var_240], eax
56. .text:0804EB4B                 call    fgets
57. .text:0804EB50                 test    eax, eax
58. .text:0804EB52                 jz      loc_804EC92
59. .text:0804EB58                 lea     esi, [ebp+var_220]
60. .text:0804EB5E                 mov     [ebp+var_20], 0
61. .text:0804EB65                 mov     [ebp+var_1C], 0
62. .text:0804EB6C                 mov     [ebp+var_18], 0
63. .text:0804EB73                 mov     [ebp+var_14], 0
64. .text:0804EB7A                 jmp     short loc_804EB83
65.  
66. ;; #MalwareMustDie