[专栏] linux病毒的分析

[复制链接]
查看: 470|回复: 0

3

主题

3

帖子

32

积分

文库官方

Rank: 7Rank: 7Rank: 7

积分
32
发表于 2017-3-17 18:45:02 | 显示全部楼层 |阅读模式
分析文章昨天我们团队的飘飘美女在群里问了一声谁会分析linux病毒,老大二话不说直接推荐我了,身为一个男生的我,女生要求的事,我会尽力办到,不然怎么泡妹子呢,对不对?好了,废话不多说了,我们看看病毒的样式: 1.png 看这里我就懵了,既然是linux 的病毒,那肯定是在linux系统下运行才有的效果啦,由于本人有点痴呆,linux系统一直搞不掂vm-tools的安装,于是很生气,这世上没有我大PC端搞不掂的问题,二话不说,拖IDA,但是一拖进去了发现: 2.png 我去还成精了都,这里大家其实不需要关心什么的直接OK进去。到这里选择与你系统一样的位数(我的是32位的,所以我就选择了32位) 3.png 进来以后首先我们先看到组成这边: 4.png 发现都是空白的,个人猜想,这既然是linux系统的病毒,那么这个病毒的话应该直接执行的,所以应该用不到什么API(虽然linux系统也有API),毕竟API都是在PC端运用的比较多。再看看Hex这里: 5.png 由这里可以看出,这病毒应该是脚本式的病毒吧,因为出现了:$,这个符号是linux下执行的一种命令。这时候突然想到,既然是脚本病毒的话,可以不可以直接脱进C32看看呢,打开C32拖到最底下发现这些东西 6.png 看到了下面这些数据没有加密,那就简单了,这时候我们拖进记事本直接就可以去查看它的内容 7.png 这好像在执行什么命令或者什么数据,由于我对linux系统的操作理解不是很清楚,所以还请大家多多谅解。我们继续向下翻,发现 8.png 这段好像是在定义一个范围,让病毒去查找系统中的文件 9.png 这段好像在进行一些数据的转换 10.png 这段个人感觉它在遍历系统的一些文件,然后寻找到插入病毒的地方 11.png 这里话是出现了关键词passwd还有一些networks 应该是在linux系统中开启了广播 12.png 13.png 这些应该都是中了病毒之后加密的数据总体来说,一旦中了这个病毒,整个linux系统中的数据都会遍历一遍,之后会在系统中驻扎,同时这个系统开了广播,以及将其linux系统中的用户和密码都会遍历之后进行数据的加密,再传到对方的服务器上。在linux下中了此病毒的特征是:cpu和内存的使用率都变得很高,机器向外发包会有异常。如果中了此病毒的话,个人还是建议使用top命令去寻找那些占用CPU或者内存较大的文件,将其删除(一般病毒的名称都会很乱)。之后再重新检查计划任务、开机启动项和病毒文件的目录下还有没有固存的病毒,即使删除病毒文件不排除有潜伏病毒,所以最好是把机器备份数据之后重装一下。分析人:AhRMo

回复 印象

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

精彩图文
在线客服(工作时间:9:00-22:00)
400-600-6565
安全文库公众号

Copyright   ©2015-2016  安全文库应急响应中心  Powered by©上海盾客网络科技有限公司  技术支持:安全文库    ( 闽ICP备15007866号-2 )